00x01 作者:墨 首发:I春秋 [-]CSRF是个什么鬼? |___简单的理解: | 攻击者盗用了你的身份,以你的名义进行某些非法操作。CSRF能够使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产。 |___CSRF攻击原理: | 当我们打开或者登陆某个网站的时候,浏览器与网站所存放的服 ...
分类:
其他好文 时间:
2016-08-30 22:46:19
阅读次数:
481
1.1 补天不收的漏洞 ①反射XSS ②CSRF ③目录遍历 ④二进制(据补天审核说,他们没人看的懂,没法审,所以不收) 2、尝试常用漏洞 2.1 爆破 2.2 CMS通用漏洞 2.3 SQL注入漏洞 2.4 XSS漏洞 2.5 越权和逻辑漏洞 2.5.1 越权 付费厂商多见于ID参数,比如type ...
分类:
其他好文 时间:
2016-08-30 22:40:21
阅读次数:
330
本文的上篇中,我们着重介绍了跨站请求伪造的原理,并指出现有的安全模型并不能真正防御这种攻击。在下篇中,我们将向读者介绍在一些大型站点上发现的几个严重的CSRF漏洞,攻击者利用这些漏洞不仅能够采集用户的电子邮件地址,侵犯用户隐私并操控用户帐户。如果金融站点出现了跨站请求伪造漏洞的话,这些漏洞甚至允许攻 ...
分类:
其他好文 时间:
2016-08-28 22:33:25
阅读次数:
237
当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时,我们就说发生了跨站请求伪造(CSRF)攻击。这些攻击被誉为基于Web的漏洞中的“沉睡的巨人”,因为互联网上的许多站点对此毫无防备,同时还因为这类攻击一直为web开发和安全社区所忽视。 一、概述 当存心不良的Web站点导致用户的浏 ...
分类:
其他好文 时间:
2016-08-28 22:20:45
阅读次数:
128
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的 ...
分类:
其他好文 时间:
2016-08-28 22:18:13
阅读次数:
146
跨站请求伪造(即CSRF)被Web安全界称为诸多漏洞中“沉睡的巨人”,其威胁程度由此“美誉”便可见一斑。本文将简单介绍该漏洞,并详细说明造成这种漏洞的原因所在,以及针对该漏洞的黑盒测试与灰盒子测试具体方法和示例,最后提提了一些防范该攻击的建议,希望本文对读者的安全测试能够有所启发。 一、CSRF概述 ...
分类:
Web程序 时间:
2016-08-28 22:10:47
阅读次数:
184
post提交表单的时候出现在这个错误是因为Yii2.0默认开启了_crsf的验证可以在控制器里局部禁用
public$enableCsrfValidation=false->覆盖父类的属性
也可以在配置文件中全局禁用
‘components‘=>[
‘request‘=>[
/**
/*!!!insertasecretkeyinthefollowing(ifitisempty)-..
分类:
其他好文 时间:
2016-08-27 23:49:12
阅读次数:
226
Cookie 1、获取Cookie: 1 2 3 4 5 6 request.COOKIES['key'] request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None) 参数: default: 默认值 salt ...
分类:
其他好文 时间:
2016-08-26 01:17:38
阅读次数:
204
【前端安全】JavaScript防http劫持与XSS 作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)CSRF>跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块 ...
分类:
编程语言 时间:
2016-08-20 16:04:04
阅读次数:
269
【前端安全】JavaScript防http劫持与XSS 作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块 ...
分类:
编程语言 时间:
2016-08-19 09:53:18
阅读次数:
217
