搜文章
推荐 原创 视频 Java开发 iOS开发 前端开发 JavaScript开发 Android开发 PHP开发 数据库 开发工具 Python开发 Kotlin开发 Ruby开发 .NET开发 服务器运维 开放平台 架构师 大数据 云计算 人工智能 开发语言 其它开发
Lambda在线 > 从0开始学安全 > 实战csrf+xss组合拳

实战csrf+xss组合拳

从0开始学安全 2020-08-01

日常毒鸡汤:人生好难哦,但还是要保持微笑。因为更难的日子还在后面呢!

昨天我们老师让我把答辩视频放到一个网站上,网站我就不发出来了,当我注册完,心血来潮的在名称哪里插了个xss

实战csrf+xss组合拳

然后刷新后居然执行了,这运气爆棚。

实战csrf+xss组合拳

但是这个存储型的xss有点鸡肋啊!然后我就想看看有没有csrf打个组合拳,在修改资料哪里提交的时候抓了个包,生成了个poc如下:

实战csrf+xss组合拳

然后我们保存为1.html放到浏览器里执行,如果弹框6666就证明存在crsf漏洞。

实战csrf+xss组合拳

执行成功,我们f5刷新一下,弹框6666

接下来我要去盗同学们的账号了,由于我们答辩视频交的是视频二维码,那么我就可以把恶意语句放在我的服务器上然后生成个二维码,坐等他们扫描(开玩笑)。

二维码如下:

溜了溜了.....c,又是字数不够。


版权声明:本站内容全部来自于腾讯微信公众号,属第三方自助推荐收录。《实战csrf+xss组合拳》的版权归原作者「从0开始学安全」所有,文章言论观点不代表Lambda在线的观点, Lambda在线不承担任何法律责任。如需删除可联系QQ:516101458

文章来源: 阅读原文

相关阅读

关注从0开始学安全微信公众号

从0开始学安全微信公众号:gh_b365249177a2

从0开始学安全

手机扫描上方二维码即可关注从0开始学安全微信公众号

从0开始学安全最新文章

精品公众号随机推荐