网络安全--渗透测试漏洞Top10
文章平均质量分 60
渗透测试的漏洞学习、靶场练习或者其他应用练习
Azure爱学习
这个作者很懒,什么都没留下…
展开
-
CSRF漏洞
1.用户使用用户名密码登录,服务端生成一个随机的token(令牌)发给客户端,服务端要保存字段在session中。浏览器的保护措施:referrer policy :strict-origin-when-cross- orign。在请求中加入一些随机字段token(第三方不知道也猜不出来),让第三方无法伪造请求。2.客户端保存token,放到隐藏字段hidden(cookie是明文的不易保存)3.用户在登录状态下,之后访问时要携带这个token字段(一次性)怎么让自己的前端页面和伪造的第三方页面不一样呢?原创 2023-03-02 23:59:07 · 93 阅读 · 0 评论 -
XSS工具之XSStrike安装
经百度谷歌知道原因是:github连接失败,下载不下来。github不翻墙不加载或者加载慢。原创 2023-02-24 09:09:55 · 505 阅读 · 1 评论 -
XSS闯关游戏
测试payload查看网页源代码发现:和第五关几乎一样,只不过第一个O成了大写,所以先试用。差异就是script、字母没有被过滤,大小写敏感,尖括号、双引号被编码了。查看网页源代码,比上一关多了一个ref参数,仿写上一关的payload注入网页并无变化。查看网页源码,尖括号、双引号、单引号都被编码了,但是单引号没有被编码,所以考虑。尖括号、双引号都被编码了,从下面href的值也可以看出script会被规避。在hackbar上进行输入值测试,查看网页源代码,是ua的参数值,抓包!是个成功且合法的链接了!原创 2023-03-01 10:08:23 · 316 阅读 · 0 评论