钓鱼站sqli+xss+csrf

Posted 雨九九

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了钓鱼站sqli+xss+csrf相关的知识,希望对你有一定的参考价值。

起因




简单浏览

主页

后台 /admin/

万能密码进后台

看到手机号原本以为凉了
试了一下账号admin\' and 1#

TIPS:不要轻易相信和放弃,多尝试!

前台xss+后台密码修改csrf

前台打后台的xss

后台密码修改无原密码保护

无csrf-token

sql注入有waf

以上是关于钓鱼站sqli+xss+csrf的主要内容,如果未能解决你的问题,请参考以下文章

前端XSS相关整理

前端XSS相关整理

CSRF攻击与防御原理

CSRF跨站请求伪造

第一百零六节 csrf攻击原理和防御

2019-2020-2 网络对抗技术 20175224 Exp9 Web安全基础