跨站請求偽造(cross-site request forgery,csrf)是指利用
受害者尚未失效的身份認證資訊(cookie、會話等),誘騙其點
擊惡意鏈結或者訪問包含攻擊**的頁面,在受害人不知情的
情況下以受害者的身份向(身份認證資訊所對應的)伺服器發
送請求,從而完成非法操作(如轉賬、改密等)
1.可能出現的地方
所有的業務點都需要進行測試
1. 轉賬
2. 修改密碼
3. 個人資料
4. 登陸
5. 加購物車、收藏商品
6. 開通業務
…
抓乙個包,
get方式,只要把url給管理員開啟就能修改他的密碼。構造get網頁
通過雙重認證
抓備份資料庫的包
第乙個資料報為假的,過掉
http 引數汙染
在這構造
csrf請求
--還要將最後面的&與=url編碼一下
然後用普通使用者去發帖,把payload放帖子裡,讓管理員訪問觸發漏洞
管理員遊覽後
在新增管理員處抓個包
是post請求可以嘗試轉換get請求
寫個post的頁面
沉睡的羔羊準備甦醒!
不知不覺已經工作都三年多了,馬上就奔第四個年頭了,工作一直還未換過,還是剛畢業加入的那家公司,最近一段時間公司一直遲發員工工資,真是讓我煩透了!我不知道其他人不走的原因是什麼,難道他們竟然能忍受如此長時間以來的公司行為嗎?不管他們,我計畫開始我人生的第一次跳槽了!這次要好好規劃一下,但到真的要想跳的...
使用者認知的甦醒,極客先行
人類用認識的活動去了解事物,用實踐的活動去改變事物。克羅齊,義大利文藝批評家 先說說 極客 一詞,它是來自於美國俚語 geek 的音譯,一般理解為性格古怪的人。例如,數學極客 是指,並不一定是數學專業但又對數學等技術有狂熱的興趣並投入大量時間鑽研的人。網際網路極客,自然是指並不一定是網際網路專業出身...
站在巨人的肩膀上 同時要懷疑巨人
時刻保持懷疑的態度。題記 站在巨人的肩膀上很重要,但是要看清誰是巨人,跟著巨人做重要,但是一定要原原本本的看清楚,照著葫蘆畫瓢,最可怕的是沒有照著,或者站在了巨人出錯的地方。當在myeclipse這個ide彈出一些檢查更新的視窗的時候,這個錯誤貌似看過高人操作過,當時是毫不猶豫的去掉了專案中buil...