XiaodiSec day038 Learn Note 小迪安全学习笔记

XiaodiSec day038 Learn Note 小迪安全学习笔记

记录得比较凌乱,不尽详细

day 38 XSS

XSS 的最后一节

结合 ctfshow 的题

316 - 331 关

16 题捏

开始

ctfshow 启动

使用

onerror 实践绕过对 script 的过滤

onload 时间能自动载入,加载自动执行

可以用\代替空格,绕过空格过滤

存储型 XSS

使用 xss 获得管理员的账号密码

管理员能查看管理员的账号密码

考虑将自己的账号名改成 js 代码(笑嘻了)

session 的失效问题,session 相对于 cookie 更快失效

既然 session 失效较快,考虑使用 js 获取 html 源代码

Php 中设置 session.cookie_httponly =

httponly 无法获取尝试使用 beef-xss 秒它

CSP Content Security Policy 能有效防止跨站攻击,据说非常牛批

此外,php 中有一些自动转义的代买,尝试引入

还可限制输入内容

相关推荐
DKPT3 小时前
Java桥接模式实现方式与测试方法
java·笔记·学习·设计模式·桥接模式
巴伦是只猫5 小时前
【机器学习笔记Ⅰ】13 正则化代价函数
人工智能·笔记·机器学习
好好研究6 小时前
学习栈和队列的插入和删除操作
数据结构·学习
新中地GIS开发老师7 小时前
新发布:26考研院校和专业大纲
学习·考研·arcgis·大学生·遥感·gis开发·地理信息科学
SH11HF8 小时前
小菜狗的云计算之旅,学习了解rsync+sersync实现数据实时同步(详细操作步骤)
学习·云计算
Frank学习路上8 小时前
【IOS】XCode创建firstapp并运行(成为IOS开发者)
开发语言·学习·ios·cocoa·xcode
Chef_Chen9 小时前
从0开始学习计算机视觉--Day07--神经网络
神经网络·学习·计算机视觉
X_StarX11 小时前
【Unity笔记02】订阅事件-自动开门
笔记·学习·unity·游戏引擎·游戏开发·大学生
MingYue_SSS11 小时前
开关电源抄板学习
经验分享·笔记·嵌入式硬件·学习
巴伦是只猫11 小时前
【机器学习笔记 Ⅱ】1 神经网络
笔记·神经网络·机器学习