XiaodiSec day038 Learn Note 小迪安全学习笔记

XiaodiSec day038 Learn Note 小迪安全学习笔记

记录得比较凌乱,不尽详细

day 38 XSS

XSS 的最后一节

结合 ctfshow 的题

316 - 331 关

16 题捏

开始

ctfshow 启动

使用

onerror 实践绕过对 script 的过滤

onload 时间能自动载入,加载自动执行

可以用\代替空格,绕过空格过滤

存储型 XSS

使用 xss 获得管理员的账号密码

管理员能查看管理员的账号密码

考虑将自己的账号名改成 js 代码(笑嘻了)

session 的失效问题,session 相对于 cookie 更快失效

既然 session 失效较快,考虑使用 js 获取 html 源代码

Php 中设置 session.cookie_httponly =

httponly 无法获取尝试使用 beef-xss 秒它

CSP Content Security Policy 能有效防止跨站攻击,据说非常牛批

此外,php 中有一些自动转义的代买,尝试引入

还可限制输入内容

相关推荐
aaaameliaaa26 分钟前
进制练习题【找出只出现一次的数字、交换两个变量(不创建临时变量)、统计二进制中1的个数、打印整数二进制的奇数位和偶数位、求两个数二进制中不同位的个数】
c语言·数据结构·笔记·算法
吃好睡好便好1 小时前
泰戈尔的诗歌7
学习·生活
RainCity2 小时前
Java Swing 自定义组件库分享(十三)
java·笔记·后端
星夜夏空992 小时前
C++学习(2) —— 类与对象基础
开发语言·c++·学习
-To be number.wan2 小时前
数据库系统 | 数据库安全与完整性
数据库·学习
czysoft3 小时前
se被限速
科技·学习·it·技术·魔法·先进·领先
子不语1804 小时前
从0开始学习S7-1200+ET200SP(3)——两台S7-1200通过TCP连接
网络协议·学习·tcp/ip
llllliznc4 小时前
LLM 学习笔记 Day 5:Agent 核心组件——Planner、Memory 与 Reflection
笔记·学习
risc1234564 小时前
“解决了什么痛点”与“为什么有这个东西”的关系?
笔记
hj2862514 小时前
Docker 容器化技术标准化笔记
java·笔记·docker