03 2022 档案
摘要:一、介绍 定义:SSRF(Server-Side Request Forgery:服务器端请求伪造)通过篡改 HTTP 请求中的资源地址发送给服务器,服务器没有校验请求的合法性,服务器解析用户传递过来的请求,处理之后返回给用户。简单理解就是将WEB服务器作为了一个跳板(代理)去请求更深层(内网)的资
阅读全文
摘要:一、定义 CSRF(Cross-site request forgery,跨站请求伪造)也被称为 One Click Attack(单键攻击)或者 Session Riding,通常缩写为 CSRF 或者 XSRF。 简单理解:用户已经登陆过一个网站并且完成了认证,下次登录这个网站就不用再进行认证了
阅读全文
摘要:一、关于工具pydictor来生成自己需要的密码字典 参数说明: -base 表示密码所使用的字符 -base Type d digital [0 - 9] 数字 L lowercase letters [a - z] 小写字母 c capital letters [A - Z] 大写字母 -o 指
阅读全文
摘要:一、通过闭合标签来进行xss注入 我们可以在url中发现传递了一个参数name=test,而且该参数在当前web页面进行了回显,我们观察可以发现回显内容在h2标签里面,所以我们的payload可以通过闭合h2标签来进行xss注入:?name=1</h2><script>alert('xss');</
阅读全文
摘要:1.启动setoolkit工具后选择:1 meng@mengs-MacBook-Air ~ % sudo setoolkit Select from the menu: 1) Social-Engineering Attacks 2) Penetration Testing (Fast-Track)
阅读全文
摘要:1.首先在自己的机器上构建Web站点(49.232.106.183:6789是我的映射的内网机器Web站点)用来接收窃取到的用户cookie 这里记得给一个写入权限从而可以成功写入cookie.txt当中。 2.构建恶意URL,这里注意可以将构建的URL进行加密(burpsuite或者harbar都
阅读全文
摘要:1.定义:跨站脚本攻击英文全称为 (Cross Site Script)缩写为 CSS,但是为了和层叠样式表 (Cascading Style Sheet) css 区分开来,所以在安全领域跨站脚本攻击叫做XSS 2.目的:获取用户cookie 3.基本步骤: (1)用户必须先登录然后有了cooki
阅读全文
