实战csrf+xss组合拳

Posted 从0开始学安全

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了实战csrf+xss组合拳相关的知识,希望对你有一定的参考价值。

日常毒鸡汤:人生好难哦,但还是要保持微笑。因为更难的日子还在后面呢!

昨天我们老师让我把答辩视频放到一个网站上,网站我就不发出来了,当我注册完,心血来潮的在名称哪里插了个xss

实战csrf+xss组合拳

然后刷新后居然执行了,这运气爆棚。

实战csrf+xss组合拳

但是这个存储型的xss有点鸡肋啊!然后我就想看看有没有csrf打个组合拳,在修改资料哪里提交的时候抓了个包,生成了个poc如下:

实战csrf+xss组合拳

然后我们保存为1.html放到浏览器里执行,如果弹框6666就证明存在crsf漏洞。

实战csrf+xss组合拳

执行成功,我们f5刷新一下,弹框6666

接下来我要去盗同学们的账号了,由于我们答辩视频交的是视频二维码,那么我就可以把恶意语句放在我的服务器上然后生成个二维码,坐等他们扫描(开玩笑)。

二维码如下:

溜了溜了.....c,又是字数不够。


以上是关于实战csrf+xss组合拳的主要内容,如果未能解决你的问题,请参考以下文章

漏洞挖掘 | 一次XSS和CSRF的组合拳进攻 (CSRF+JSON)

一次CSRF+SELF-XSS组组组合拳!!!

Csrf+Xss组合拳

鸡肋CSRF和Self-XSS组合的变废为宝

CSRF漏洞的概念利用方式防御方案

CSRF与多种漏洞的组合出击 | 咖面62期 预告