江水
  • 首页
  • About Me

某众测平台项目任意账号登录及密码重置

2018年9月29日 0条评论 1,201次浏览 0人点赞

任意登录: 登录处,选择短信登录 任意手机号来接收到验证码,然后输入要登录的手机号码配合收到的验证码 看结果:登录成功 重置密码 此处利用邮箱密码重置(配合上一步的任意账号登录获取账号的邮箱)    

Csrf中的Referer绕过总结

2018年9月10日 0条评论 889次浏览 0人点赞

Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,如果遇见了Referer的限制比较死的无法利用了 正常请求: 绕过思路: 案例: …

Exploiting JSON CSRF

2018年9月6日 0条评论 542次浏览 0人点赞

看到一个POST为JSON格式的CSRF,并且验证了Content-Type是否是application/json,构造发现: 使用form能构造出JSON的跨域请求,但是无法设置Content-Type。 使用XMLH…

文章归档

  • 2020年7月 (1)
  • 2020年6月 (3)
  • 2020年4月 (2)
  • 2019年10月 (1)
  • 2019年4月 (1)
  • 2019年3月 (1)
  • 2019年2月 (1)
  • 2018年12月 (2)
  • 2018年11月 (2)
  • 2018年10月 (1)
  • 2018年9月 (3)
  • 2018年8月 (1)
  • 2018年7月 (3)
  • 2018年6月 (3)
  • 2018年5月 (13)

分类目录

  • APP安全 (2)
  • Other (7)
  • WEB安全 (18)
  • 安全建设 (5)
  • 逻辑漏洞 (6)

书签

  • c32
  • XssAv 网址导航

© 2022 江水 All Rights Reserved.
Theme Snape made by Vtrois