前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >萌新也能看懂的SelfXSS+CSRF组合拳案例

萌新也能看懂的SelfXSS+CSRF组合拳案例

作者头像
字节脉搏实验室
发布2020-09-25 13:55:46
1.3K0
发布2020-09-25 13:55:46
举报

selfxss就是只能对本地客户端产生影响的跨站脚本攻击,举例简单来说就是像获取到的cookie是自己的,显然这并没有什么实际危害,但是一旦结合跨站请求伪造则会导致危害升级,并且成为存储型的跨站脚本攻击。

这里我做了个更改用户名的案例:

change1.php:

change.php

首先我们打开change1.php

观察该页面可以看到修改用户名模块,尝试XSS,发现只是一个selfxss(假设这是我们自己的账号)

当我们知道该页面没有防止csrf的机制,那么就可以通过selfxss+csrf来扩大危害

EXP如下:

诱使其他用户点击

成功取到cookie并且是存储型XSS

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-09-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 字节脉搏实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档