- 博客(3)
- 收藏
- 关注
RSS订阅原创 pikachu靶场之csrf
本文展示了三种CSRF攻击方法:1)GET型CSRF通过拦截修改请求URL,诱导受害者访问实现信息篡改;2)POST型CSRF通过构造恶意表单或HTML文件,利用受害者会话权限修改数据;3)Token型CSRF使用BurpSuite的CSRFTokenTracker插件破解动态Token,通过实时更新Token值绕过防护机制。三种方式均演示了如何利用受害者已认证状态非法修改个人信息,揭示了CSRF漏洞的危害性及防御Token机制的可绕过风险。实验证明,仅依赖简单Token不足以完全防御CSRF攻击。
2026-02-04 19:07:54
201
原创 pikachu靶场之XSS攻击
本文总结了10种XSS攻击方式及绕过技巧:1)反射型GET/POST通过hackbar或BurpSuite注入;2)存储型利用留言板持久化攻击;3)DOM型通过闭合href标签并触发onerror事件;4)盲打攻击后台登录场景;5)大小写绕过过滤;6)利用htmlspecialchars()函数特性,通过onclick触发;7)href过滤时使用javascript协议;8)JS输出通过闭合语句注入。这些案例展示了不同场景下XSS攻击的实现原理和防御绕过方法,包括标签闭合、事件触发、协议利用等技术要点。
2026-02-02 22:03:16
522
原创 pikachu靶场之暴力破解
本文介绍了四种常见的Web暴力破解攻击方法:1)表单暴力破解,使用BurpSuite拦截并爆破用户名密码;2)验证码服务端绕过,通过多次请求发现验证码失效;3)验证码客户端绕过,通过修改JS代码或禁用脚本;4)Token防爆破,采用Pitchfork模式同时爆破密码和动态Token。文章详细说明了每种攻击的具体操作步骤,包括工具配置、Payload设置和结果分析,重点展示了如何识别正确的认证信息。这些方法揭示了常见Web认证机制的安全弱点。
2026-02-01 20:51:32
97
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人