XiaodiSec day038 Learn Note 小迪安全学习笔记

XiaodiSec day038 Learn Note 小迪安全学习笔记

记录得比较凌乱,不尽详细

day 38 XSS

XSS 的最后一节

结合 ctfshow 的题

316 - 331 关

16 题捏

开始

ctfshow 启动

使用

onerror 实践绕过对 script 的过滤

onload 时间能自动载入,加载自动执行

可以用\代替空格,绕过空格过滤

存储型 XSS

使用 xss 获得管理员的账号密码

管理员能查看管理员的账号密码

考虑将自己的账号名改成 js 代码(笑嘻了)

session 的失效问题,session 相对于 cookie 更快失效

既然 session 失效较快,考虑使用 js 获取 html 源代码

Php 中设置 session.cookie_httponly =

httponly 无法获取尝试使用 beef-xss 秒它

CSP Content Security Policy 能有效防止跨站攻击,据说非常牛批

此外,php 中有一些自动转义的代买,尝试引入

还可限制输入内容

相关推荐
Olrookie33 分钟前
若依前后端分离版学习笔记(一)——本地部署
笔记·后端·开源
PerfumerKarma1 小时前
【WebGPU学习杂记】数学基础拾遗(2)变换矩阵中的齐次坐标推导与几何理解
学习·线性代数·矩阵
knight_20241 小时前
嵌入式学习日志————对射式红外传感器计次
stm32·单片机·嵌入式硬件·学习
go54631584652 小时前
基于分组规则的Excel数据分组优化系统设计与实现
人工智能·学习·生成对抗网络·数学建模·语音识别
##echo2 小时前
嵌入式Linux裸机开发笔记9(IMX6ULL)GPIO 中断实验(1)
linux·c语言·笔记·单片机·嵌入式硬件
●VON2 小时前
重生之我在暑假学习微服务第二天《MybatisPlus-下篇》
java·学习·微服务·架构·mybatis-plus
Yu_Lijing2 小时前
MySQL进阶学习与初阶复习第四天
数据库·学习·mysql
好学且牛逼的马3 小时前
学习随笔录
学习
我爱学嵌入式4 小时前
C语言第 9 天学习笔记:数组(二维数组与字符数组)
c语言·笔记·学习
im_AMBER8 小时前
学习日志19 python
python·学习