• 对于跨站伪造请求(CSRF)的理解和总结

    AdminAdmin 2020-06-13

    CSRF(Cross-site request forgery)中文名称:跨站请求伪造也被称为:one click attack/session riding缩写为:CSRF/XSRFCSRF攻击CSRF是跨站请求伪造的缩写,也被称为XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是...

    已有73人围观 ,发现 0个评论
  • 云班课一处CSRF间接导致的密码重置问题

    AdminAdmin 2020-05-08

    4.29 追加:此漏洞已提交,但是厂家貌似没有打算修复的意思…作为用户的补救方法:绑定邮箱,此漏洞针对未绑定邮箱的用户 每个人都在自己的家庭课堂上在线写作业。 自从上次他们破解了视频进度以及关于云课程和学习通行证的多项选择题以来,他们在进行在线作业时并没有自觉计划几次。  尽管此漏洞可以重置帐户密码,但相对简单,只需编写即可。&...

    已有207人围观 ,发现 0个评论
  • json数组的CSRF利用分析

    AdminAdmin 2020-03-07

    问题引出在CSRF中,经常遇到提交的数据包是json数组的,这种类型的CSRF不能直接使用Burp生成的POC进行测试。后来在hackone上看到了一个方法,将from的ENCTYPE属性设置为text/plain时,json数组仍能被服务器接收。这个报告的地址为JSON CSRF on POST Heartbeats API但是在最近刷SRC的过程中,笔者...

    已有166人围观 ,发现 0个评论
1
最新留言
请关注微信公众号
微信二维码
不容错过
Powered By 蚁人博客