40、WEB攻防——通用漏洞&CSRF&SSRF&代码审计&同源策略&加载函数

文章目录

CSRF

如何对CSRF进行测试?尝试添加管理员为例

抓取添加管理员的用户名和密码的数据包,形成html文件,并放到公网服务器上。

登录后台的状态下访问刚刚那个文件,CSRF攻击完成。

CSRF绕过: 针对来源检测 ,可以:(1)伪造referer,需要在html代码数据包文件中固定http-referer;(2)尝试在网站任何可上传地方,上传数据包文件,取得当前同域名访问地址。

SSRF

这个采集模块,服务器会根据你给的URL进行访问,说明存在SSRF。


按照之前的方法,找不到collection文件夹,这里是用到了框架。

审计思路

相关推荐
狂炫冰美式5 分钟前
人均配了AI, 为什么公司还是没变快? 🤔 本质还是分布式系统问题
前端·后端·架构
乘风gg1 小时前
多 Agent 不是万能的!搞懂这 5 个原则,少走 1 年弯路!
前端·agent·ai编程
猩猩程序员2 小时前
Vercel 推出 Agent 框架 Eve:让 AI Agent 像写 Web 应用一样简单
前端
爱读源码的大都督2 小时前
Claude Code源码分析(三):为什么系统提示词中需要有tools呢?
前端·人工智能·后端
爱勇宝2 小时前
Claude Code 被曝暗藏“隐形检测”代码:封代理不是最可怕的,可怕的是你根本不知道它在干什么
前端·后端·程序员
小牛不牛的程序员2 小时前
我用 Claude Code 半天撸完了一个完整网站,AI 编程到底提升了多少效率?
前端
东风破_2 小时前
JavaScript 面试常考的字符串算法:从反转字符串到回文判断
前端·javascript
ITOM运维行者3 小时前
从零搭建企业级服务器监控体系:踩坑实录与架构设计
前端·后端
monologues3 小时前
深入 Vue 3 源码:响应式系统的精妙设计与编译优化
前端
hunterandroid3 小时前
Paging 3 分页:从手动分页到声明式加载
前端