XiaodiSec day038 Learn Note 小迪安全学习笔记

XiaodiSec day038 Learn Note 小迪安全学习笔记

记录得比较凌乱,不尽详细

day 38 XSS

XSS 的最后一节

结合 ctfshow 的题

316 - 331 关

16 题捏

开始

ctfshow 启动

使用

onerror 实践绕过对 script 的过滤

onload 时间能自动载入,加载自动执行

可以用\代替空格,绕过空格过滤

存储型 XSS

使用 xss 获得管理员的账号密码

管理员能查看管理员的账号密码

考虑将自己的账号名改成 js 代码(笑嘻了)

session 的失效问题,session 相对于 cookie 更快失效

既然 session 失效较快,考虑使用 js 获取 html 源代码

Php 中设置 session.cookie_httponly =

httponly 无法获取尝试使用 beef-xss 秒它

CSP Content Security Policy 能有效防止跨站攻击,据说非常牛批

此外,php 中有一些自动转义的代买,尝试引入

还可限制输入内容

相关推荐
WhyNot?33 分钟前
深度学习入门(三):神经网络的学习
深度学习·神经网络·学习
Moonnnn.41 分钟前
运算放大器(五)电压比较器
笔记·学习·硬件工程
KangkangLoveNLP2 小时前
手动实现一个迷你Llama:使用SentencePiece实现自己的tokenizer
人工智能·深度学习·学习·算法·transformer·llama
kfepiza2 小时前
`accept_ra` 和 `autoconf` 和 `forwarding` 的关系 笔记250404
linux·网络·笔记·tcp/ip·智能路由器·ip·tcp
浪淘沙jkp2 小时前
大模型学习二:DeepSeek R1+蒸馏模型组本地部署与调用
学习·deepseek
kfepiza3 小时前
Debian编译安装mysql8.0.41源码包 笔记250401
数据库·笔记·mysql·debian·database
m0_613607013 小时前
数据集(Dataset)和数据加载器(DataLoader)-pytroch学习3
学习
序属秋秋秋3 小时前
算法基础_基础算法【位运算 + 离散化 + 区间合并】
c语言·c++·学习·算法·蓝桥杯
虾球xz4 小时前
游戏引擎学习第198天
学习·游戏引擎
网络安全指导员5 小时前
如何在JMeter中配置断言,将非200状态码视为测试成功
网络·学习·jmeter·安全·web安全·架构