文档章节

某群 xss 漏洞实战 前因后果

Sohnny
 Sohnny
发布于 05/25 03:02
字数 485
阅读 109
收藏 0

本人是某俱乐部成员,同时也有自己的技术网站, sojpt.com

因聊天中有很多误会,在此澄清同时也做了相应的解释, 内容如有冒犯请联系本人删除

2019年5月22日上午,在工作空闲时,看了下俱乐部的群消息。下面截图

一开始发现 某站有xss漏洞,直接想到的就是打cookie, 然后有人说时 httponly 保护,我就想可以通过拦截请求,然后直接想到的是通过js拦截和其他拦截,因为想到js拦截的话比较省事和简单,所以在群里说了可以通过js拦截,有的人表示反对,然后在群里讨论了半天, 就有了下面内容,(后来有人说了, 我查了下资料才知道js拦截行不通, 因为httponly修饰的cookie是js发起请求时浏览器附加上去的,此路不通,可以考虑其他拦截方式)

群主来直接又是httponly ,又返回之前的话题,

 

这里完全是给台阶下,没想到还找我充会员。。。

这是和群主的主要对话

 

后面一直有人那我一开始的话来嘲讽我,断章取义, 我也是无语了。。。

该说的我也都说了, 该解释的也解释了, 最后我付出了两天的成果, 就这么被某些人践踏。 何况我这实现思路,他们未必会有。

单纯在此解释,和表达我个人观点。

© 著作权归作者所有

Sohnny
粉丝 4
博文 21
码字总数 4619
作品 1
西安
程序员
私信 提问
【火热报名中】鸡肋漏洞的深思:CORS、XSS、CSRF的组合 FreeBuf精品公开课漏洞挖掘系列

     CORS(跨源资源共享)、CSRF、Self-XSS、反射型XSS,单独拿出某一个漏洞,可能都是一个鸡肋。但当CORS遇上XSS,当CSRF、XSS这些漏洞成为一套组合拳,低危与高危之间,也许只差了这份...

FreeBuf
2018/05/03
0
0
Web-安全-学习资料(很全)​

看原文 看原文 看原文 Web-安全-学习资料(很全) Web-Security-Learning 在学习web安全的过程中整合的一些资料。 该repo会不断更新,最近更新日期为:2017/9/19。 9月19日更新: 新收录文章...

Ho0oH
2017/09/26
0
0
招sql注入漏洞 渗透技术 渗透测试人员 可兼职

负责承接的安全项目,主要以渗透测试 为 主。 1、精通web攻击、渗透技术,精通 asp/asp.net/php/java代码防护; 2、熟练掌握windows/nux/unix攻防 技 术; 3、熟练掌握SQL注入、文件上传、 ...

liujian1
2015/06/09
512
1
孔夫子旧书网搜索XSS漏洞一枚

XSS不熟,目前只是会简单的,而且是看了群里某个人演示sina爱问的时候,受到启发发现漏洞的,已通知网站管理员修复了。 网址:http://www.kongfz.com/ 发现在搜索以后,会在title里出现搜索的...

3147972
2014/09/05
0
0
通过Web安全工具Burp suite找出网站中的XSS漏洞实战(二)

一、背景 笔者6月份在慕课网录制视频教程XSS跨站漏洞 加强Web安全,里面需要讲到很多实战案例,在漏洞挖掘案例中分为了手工挖掘、工具挖掘、代码审计三部分内容,手工挖掘篇参考地址为快速找出...

apache
2018/10/08
0
0

没有更多内容

加载失败,请刷新页面

加载更多

mongodb安装、连接,mongodb用户管理、创建集合、数据管理、备份恢复,副本集介绍、搭建、测试,分片介绍、搭建、测试,php的mongodb扩展、mongo扩展

21.26 mongodb介绍 21.27 mongodb安装 21.28 连接mongodb 21.29 mongodb用户管理 21.30 mongodb创建集合、数据管理 21.31 php的mongodb扩展 21.32 php的mongo扩展 21.33 mongodb副本集介绍 ...

tobej
17分钟前
1
0
C++的变量初始化

C++中变量的初始化有很多种方式,如:默认初始化,值初始化,直接初始化,拷贝初始化,列表初始化。 1、默认初始化:默认初始化是指定义变量时没有指定初值时进行的初始化操作。 如:int a;...

天王盖地虎626
39分钟前
1
0
MySQL-入门(一)

一、SQL的分类 DDL(Data Definition Language):数据定义语言,用来操作数据库对象:库、表、列等; DML(Data Manipulation Language):数据操作语言,用来增删改数据库中的数据; DCL(...

潜行-L
42分钟前
1
0
微服务架构在Kubernetes上的实现

我们讨论了最近的微服务趋势,以及伴随微服务架构可能出现的一些复杂问题。在接下来的几周内,我们将深入探讨这个问题。我们将探讨不同设计选择中固有的权衡,以及可以采取哪些措施来缓解这些...

别打我会飞
43分钟前
4
0
IDEA2018导入eclipse web项目

看别人的攻略:https://blog.csdn.net/qq_33229669/article/details/83751316 完成之后,出现了IDEA编译java报错:找不到符号_的解决方法错误, 然后百度出来是编码问题, 1.更改editor的文件编码...

流光韶逝
58分钟前
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部