cxk

csrf跨站请求伪造  CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，达到攻击目的。  自己的简单理解，A用户登录了一个页面，没有退出，B向A发了一个页面，A进去点了某个按钮，然后在A不知情的情况添加了账号或者其他操作。  第一次csrf实战操作发现无token验证，随用bp自带构造poc...

朋友发的，问怎么注入有大佬发了，报错注入。那就来锤他UPDATEXML (XML_document, XPath_string, new_value);第一个参数：XML_document是String格式，为XML文档对象的名称，文中为Doc第二个参数：XPath_string (Xpath格式的字符串) ，如果不了解Xpath语法，可以在网上查找教程。第三个参数：new_value...

框架注入1、漏洞描述：一个框架注入攻击是一个所有基于GUI的浏览器攻击，它包括任何代码如JavaScript、VBScript(ActivX)、Flash、AJAX(html+js+py)。代码被注入是由于脚本没有对它们正确验证，攻击者有可能注入含有恶意内容的frame或iframe标记。“链接注入”是修改站点内容的行为，其方式为将外部站点的URL嵌入其中，或将有易受攻击的站点中的脚本的URL...