0x01 前言 在本次实战过程中，我们发现了两处关键漏洞，接下来将对它们进行详细介绍。需要说明的是，在实战中我们均使用了测试账号。 0x02 响应包中携带短信验证码 首先，我们注册了一个名为 't...

前言 CSRF跨站请求伪造（Cross-site request forgery）是一种安全漏洞，当某个接口没有设置CSRF验证时，用户点击了恶意链接就有可能导致对该接口发送数据，从而使得数据被篡改。这种攻击常见于...

0x01 前言 CSRF跨站请求伪造（Cross-site request forgery），当某个接口没有设置CSRF验证，点击了别人恶意的链接，可能会造成对这个接口发送相应的数据，造成某个数据被更改。常发生在转帐、修...

0x01 前言 XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript。xss本质上...

1.2. 什么是Web应用中的模糊测试？ Web应用是基于HTTP协议进行传输的。模糊测试是一种通过发送随机、异常或非预期的输入（Payload）来评估程序对输入的处理方式的测试方法。 Payload可以被放置...

当我们审查Zabbix的源代码时，我们发现了一个严重的安全漏洞，它位于Zabbix的用户界面(UI)的身份验证部分。这个漏洞是一种跨站请求伪造（CSRF）漏洞，它允许未经身份验证的攻击者接管Zabbix管理...

0x00 前言最近关注了各种RCE，偶然间接触到了CSRF，发现自己对此一知半解。为了更深入理解，特意进行了一番学习和实践，现在将分享关于WEB安全 | CSRF的原理及防御的内容。CSRF的原理CSRF简单实...

CSRF漏洞原理： CSRF，即跨站请求伪造，是一种利用用户尚未失效的身份认证信息，通过诱骗用户点击恶意链接或访问包含攻击代码的页面，以受害者身份向服务器发送请求，完成非法操作的漏洞。攻击...

网络技术专业术语大全：TCP/IP（Transmission Control Protocol/Internet Protocol）传输控制协议/互联网协议：是互联网通信的基本协议，负责数据的分组、传输和路由。LAN（Local Area Network...