Cross-Site Scripting 简称为“CSS”，为避免与前端叠成样式表的缩写"CSS"冲突，故又称XSS。XSS是一种发生在前端浏览器端的漏洞，所以其危害的对象也是前端用户。 形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理，导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。 因此在XSS漏洞的防范上…

“暴力破解”是一攻击具手段，在web攻击中，一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录，直到得到正确的结果。 为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作。 基于表单的暴力破解 随便输入 账号密码，登录抓包，右键发送到intruder模块 当发送请求时，会将 § 标识的参数…

Cors Cors允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 跨域——CORS详解 - 知乎 (zhihu.com) CORS跨域漏洞学习 - Lushun - 博客园 (cnblogs.com) 在DoraBox练习 编写的HTML代码 运行代码burp 发现头信息中增加了origin字段…

什么是jsonp？ Jsonp(JSON with Padding) 是 json 的一种"使用模式"，可以让网页从别的域名（网站）那获取资料，即跨域读取数据。 JSONP原理就是动态插入带有跨域url的<script>标签，然后调用回调函数，把我们需要的json数据作为参数传入，通过一些逻辑把数据显示在页面上。 常见的jsonp形式类…

CSRF--get请求 修改个人信息 在burp中截取get请求 在burp中修改burp请求 发送截取的数据包后的网页 CSRF--post请求 在pikachu的csrf中提交post请求 在burp中截取post请求利用burp中的csrf的poc功能做一个网页伪造请求 在浏览器中测试 复制连接 到地址栏 CSRF--post请求 利用tok…

大致步骤 1 购买服务器 2 利用宝塔连接服务器 3 在宝塔中配置LNMP CentOS 7.0安装配置LAMP服务器(Apache+PHP+MariaDB) | 系统运维 (osyunwei.com) (16条消息) Apache部署超详细教程_Dribblelife的博客-CSDN博客_apache配置 4 配置WordPress (16条消息…

Welcome to WordPress. This is your first post. Edit or delete it, then start writing!