XiaodiSec day038 Learn Note 小迪安全学习笔记

XiaodiSec day038 Learn Note 小迪安全学习笔记

记录得比较凌乱,不尽详细

day 38 XSS

XSS 的最后一节

结合 ctfshow 的题

316 - 331 关

16 题捏

开始

ctfshow 启动

使用

onerror 实践绕过对 script 的过滤

onload 时间能自动载入,加载自动执行

可以用\代替空格,绕过空格过滤

存储型 XSS

使用 xss 获得管理员的账号密码

管理员能查看管理员的账号密码

考虑将自己的账号名改成 js 代码(笑嘻了)

session 的失效问题,session 相对于 cookie 更快失效

既然 session 失效较快,考虑使用 js 获取 html 源代码

Php 中设置 session.cookie_httponly =

httponly 无法获取尝试使用 beef-xss 秒它

CSP Content Security Policy 能有效防止跨站攻击,据说非常牛批

此外,php 中有一些自动转义的代买,尝试引入

还可限制输入内容

相关推荐
时光追逐者32 分钟前
MongoDB从入门到实战之MongoDB快速入门(附带学习路线图)
数据库·学习·mongodb
一弓虽37 分钟前
SpringBoot 学习
java·spring boot·后端·学习
晓数2 小时前
【硬核干货】JetBrains AI Assistant 干货笔记
人工智能·笔记·jetbrains·ai assistant
我的golang之路果然有问题2 小时前
速成GO访问sql,个人笔记
经验分享·笔记·后端·sql·golang·go·database
genggeng不会代码2 小时前
用于协同显著目标检测的小组协作学习 2021 GCoNet(总结)
学习
lwewan2 小时前
26考研——存储系统(3)
c语言·笔记·考研
搞机小能手3 小时前
六个能够白嫖学习资料的网站
笔记·学习·分类
nongcunqq3 小时前
爬虫练习 js 逆向
笔记·爬虫
汐汐咯4 小时前
终端运行java出现???
笔记
The_cute_cat5 小时前
25.4.22学习总结
学习