Pikachu–XSS
Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。 形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。 因此在XSS漏洞的防范上…
Pikachu–暴力破解
“暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 基于表单的暴力破解 随便输入 账号密码,登录抓包,右键发送到intruder模块 当发送请求时,会将 § 标识的参数…
DoraBox–cors练习
Cors Cors允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 跨域——CORS详解 - 知乎 (zhihu.com) CORS跨域漏洞学习 - Lushun - 博客园 (cnblogs.com) 在DoraBox练习 编写的HTML代码 运行代码burp 发现头信息中增加了origin字段…
DoraBox–jsonp练习
什么是jsonp? Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 JSONP原理就是动态插入带有跨域url的<script>标签,然后调用回调函数,把我们需要的json数据作为参数传入,通过一些逻辑把数据显示在页面上。 常见的jsonp形式类…
Pikachu平台–csrf练习
CSRF--get请求 修改个人信息 在burp中截取get请求 在burp中修改burp请求 发送截取的数据包后的网页 CSRF--post请求 在pikachu的csrf中提交post请求 在burp中截取post请求利用burp中的csrf的poc功能做一个网页伪造请求 在浏览器中测试 复制连接 到地址栏 CSRF--post请求 利用tok…
建站
大致步骤 1 购买服务器 2 利用宝塔连接服务器 3 在宝塔中配置LNMP CentOS 7.0安装配置LAMP服务器(Apache+PHP+MariaDB) | 系统运维 (osyunwei.com) (16条消息) Apache部署超详细教程_Dribblelife的博客-CSDN博客_apache配置 4 配置WordPress (16条消息…
Hello world!
Welcome to WordPress. This is your first post. Edit or delete it, then start writing!