• csrf

    网络安全需要学什么?零基础小白能学吗
    发表于 2025-08-19 xss csrf ctf

    网络安全需要学什么?零基础小白能学吗? 网络安全是一个非常广泛的方向。目前市场上网络安全培训班很多,培训完可以做的岗位有:安全运维、渗透测试、web安全、逆向、安全开发、代码审计、安全服务等。根据岗位的不同,工作所需的技术也有一些差异,网络安全门槛低,零基础小白也可以学,只要你对网络安全感兴趣就可以

    a1. 跨网站的入侵字串cross site scripti
    发表于 2025-08-18 scripting xss csrf

    A1. 跨网站的入侵字串(Cross Site Scripting,简称XSS,亦称为跨站脚本攻击):Web应用程序直接将来自使用者的执行请求送回浏览器执行,使得攻击者可撷取使用者的Cookie或Session资料而能假冒直接登入为合法使用者。 A5. 跨网站的伪造要求 (Cross-Site Request Forgery,简称CSRF): 已登入Web应用程序的合法使用者执行到恶意的HTTP指令,但Web应用程序却当成合法需求处理,使得恶意指令被正常执行,案例包括社交网站分享的 QuickTime、Flash影片中藏有恶意的HTTP请求。

    csrfcross-site request forgery
    发表于 2025-07-28 csrf forgery 令牌

    CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种互联网安全漏洞,它可以使攻击者利用受害者的已登录状态发送恶意请求。攻击者可以伪装成受害者的身份执行某些操作,例如更改密码、发表评论、转移资金等等。 攻击者通常会利用受害者在已登录状态下访问恶意站点,这个站点会包含一些诱导受害者访问的恶意代码

    据该研究人员通报,出现漏洞的两支由 facebook 开发的
    发表于 2025-10-15 xsrf 二万个 csrf

    据该研究人员通报,出现漏洞的两支由 Facebook 开发的 WordPress 插件程式,一支是 Messenger Customer Chat,另一支是 Facebook for WooCommerce,各有二十万和二万个安装次数。 这两支插件程式的漏洞在于未能检测并阻挡跨站请求伪造攻击(Cross-Site Request Forgery CSRF/XSRF),让不同网站可以伪装成用户本人以进行各种操作。 目前 Facebook 已经修复这两支插件,但由于发表这两个漏洞的资安研究者并没有依照惯例,抢在修补程式发布前就公告漏洞资讯,因此也引起资安与开发社群的批判

    资安研究人员在使用率极高的开源 mysql 网页管理界面 p
    发表于 2025-09-16 phpmyadmin csrf

    资安研究人员在使用率极高的开源 MySQL 网页管理界面 phpMyAdmin 中,发现一个中等严重程度的 0-day 资安濡洞,骇侵者可用以删除受害用户的网页服务器。 研究报告指出,这个 0-day 漏洞属于典型的 CSRF 漏洞,骇侵者可以借由发送某个特别设计的 URL 给具有管理权限,且已登入其 phpMyAdmin 系统的用户,受者者点按该连结后,即可在受害者不知情的情形下,删除利用 phpMyAdmin 设定的 MySQL 数据库。 这个 0-day 漏洞虽然会删除网页服务器,但并不会删除数据库本身或任何数据库中的表格

    介绍csrf漏洞如何对路由器内的设定进行修改
    发表于 2025-07-20 csrf forgery session

    介绍CSRF漏洞如何对路由器内的设定进行修改,将路由器的DNS服务器修改为攻击者所伪造的DNS服务器,使受害者上网的行为暴露在攻击者的监控之下,并且介绍使用者如何避免路由器提拱的服务成为攻击者成功攻击的受害者。 路由器为了方便使用者设定参数,提供了以网页形式来设定参数,这也导致了路由器本身具有沦为CSRF攻击目标的风险,Cross-Site Request Forgery (CSRF) 是一种常见的网页攻击手法,透过将使用者使用网络时并未登出或仍持有Session、Cookie等身份验证,再将使用者引导至恶意网站上,让使用者在保持身份已验证过的状态下去执行损害自身利益的事[2],在路由器上则是会出现参数被攻击者随意修改的风险,除了会泄露出使用者的个人资料以外,也可能会成为攻击者监视的对象,更进一步可能会被伪造封包进行非法行为。 在网络上人们是透过token,一种可以作身份证明的字节,除了证明使用者是具由权限去从事符合权限的事,也代表使用这个token的人只会是使用者,当使用者触发攻击者设下的攻击指令时,攻击指令会透过使用者尚未登出的 token 来绕过认证,借此在路由器上修改设定,进一步将DNS设为伪造的DNS,攻击者透过伪DNS来对使用者所发出的封包进行监控,更进一步的可以对封包进行修改

    可见 xst 的攻击原理非常之简单
    发表于 2025-08-22 httponly xst xss

    可见 XST 的攻击原理非常之简单,借由 XST 攻击获取到 Cookie 信息或者其他敏感信息之后,攻击者可以利用这些信息再发动 XSS、CSRF、中间人攻击等,看似无害,但潜在的危险却很巨大。仅根据 XST 攻击并不会对服务器造成实质性的伤害,它真实的影响是暴露了敏感的 header 数据,如拥有 httpOnly 属性的 Cookie,已经禁止前端 JavaScript 访问它(如 document.cookie),防止它被发送给第三方,但即使在这种情况下,TRACE 方法也可用于绕过此保护并访问 cookie。XST 攻击的条件: 需要目标 Web 服务器允许接受 Trace、Track 方法的请求

    大企业和政府网站的安全系数要求非常高
    发表于 2025-08-19 政府门户 xss csrf

    大企业和政府网站的安全系数要求非常高。常熟做网站网站架构是一个网站,如建筑本身,涉及到技术,美学和功能的标准设计和规划方法。传统建筑,重点是正确的用户和用户的要求

    jenkins是最受欢迎的开源自动化服务器
    发表于 2025-09-23 cloudbees xss csrf

    Jenkins是最受欢迎的开源自动化服务器,它由CloudBees和Jenkins社区维护。该自动化服务器支持开发人员构建、测试和部署他们的应用程序,它在全球有数十万个活跃的安装,用户数量超过100万。 Jenkins的安全团队近日披露了影响Jenkins自动化服务器中29个插件中的34个安全缺陷,其中29个安全缺陷还没有被修复