环境准备:构建完善的安全渗透测试环境:推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客
一、绕过 Token
当随机生成token时,有两种方式可以被利用:
-
通过 XSS(跨站脚本攻击)获取当前页面的 token,并构造恶意链接:在这种情况下,攻击者利用已存在的 XSS 漏洞,注入恶意脚本来获取用户的 token。然后,攻击者可以将该 token 用于构造恶意链接,诱使用户点击,进而执行恶意操作。这种攻击方式可能会导致用户的敏感信息泄露或执行未经授权的操作。
-
利用 Burp Suite 的 CSRF(跨站请求伪造)token 插件进行自动更新 token:在这种情况下,攻击者利用 Burp Suite 的 CSR