企业官网建设流程全解析

外贸假发 网站,好看网站手机版,pc官网开发多少一个页面啊,如何用wampp 做网站今天给大家分享一下网络安全渗透测试入门阶段文件CSRF漏洞概述和原理教程 本文主要讲解CSRF请求伪造Referer同源置空配合XSSToken值校验复用删除。 喜欢的朋友们#xff0c;记得给我点赞支持和收藏一下#xff0c;关注我#xff0c;学习黑客技术。…今天给大家分享一下网络安全渗透测试入门阶段文件CSRF漏洞概述和原理教程本文主要讲解CSRF请求伪造Referer同源置空配合XSSToken值校验复用删除。喜欢的朋友们记得给我点赞支持和收藏一下关注我学习黑客技术。CSRF-无检测防护-检测生成利用检测黑盒手工利用测试白盒看代码检验有无token来源检验等生成BurpSuite-Engagement tools-Generate CSRF Poc但是这不是我们想要的我们想要的效果就是受害者一访问就会自动触发还需要在修改下POC数据包利用将文件放到自己的站点下诱使受害者访问或配合XSS触发访问CSRF-Referer同源-代码逻辑上传XSShttps://blog.csdn.net/weixin_50464560/article/details/120581841就是判断Referer这个值是不是同一个域名或者同一个源下绕过也简单把referer来源改下就行但是这里又有个问题就是受害者不可能自己去改referer这个值呀。只能尝试一下下面三种方式绕过绕过1配合文件上传绕过绕过2配合存储XSS绕过绕过3去掉检测来源头(代码逻辑问题)这是开发为了防止浏览器打开新窗口访问URL从而导致没有来源这个头部信息特意写的CSRF-Token校验-值删除复用留空token(令牌,也可以理解为暗号,在数据传输之前要先进行暗号的核对暗号不一致则拒绝数据传输)CSRF_token 对关键操作增加Token参数token必须随机每次都不一样存储在cookie中与验证码一样绕过绕过0将Token参数值复用代码逻辑不严谨能够重复使用token绕过1将Token参数删除代码逻辑不严谨把token整个参数值删掉绕过2将Token参数值置空代码逻辑不严谨把token的值删掉保留token网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。因篇幅有限仅展示部分资料朋友们如果有需要全套《网络安全入门进阶学习资源包》请看下方扫描即可前往获取