CSRF

admin 11年前 (2014-08-14) 2524浏览 0评论

0x00 背景 路由被CSRF攻击，修改DNS的话题最近一直比较活跃，但是国内貌似没有一个技术文章详细的分析此漏洞，漏洞成因比较简单，本篇来科普一下。 本篇讲得是一个利用CVE-2013-2645的漏洞，来修改TP-LINK的DNS案例，针对其他路...

admin 11年前 (2014-03-27) 2411浏览 0评论

微博经常会莫名其妙的添加一些推广账号。 恰好看到乌云人暴新浪的CSRF，遂加关注跟踪了一下。思考了一些推广的思路： 1、通过存在CSRF漏洞的接口 https://api.weibo.com/2/friendships/create.json(POS...

admin 11年前 (2014-03-10) 2031浏览 0评论

今天扯淡一种另类的csrf：通过低敏感度，所以没有csrf防护的页面，来操作高敏感度的页面，比如微薄加粉，发微薄云云。 /* 无耻的小注释 这个问题已经在腾讯漏洞报告平台报告，觉得比较好玩，故扯出来发到zone里，让大家乐乐。 腾讯这样的忽略点应该不...

admin 11年前 (2014-03-10) 2962浏览 0评论

1、出问题的地方 http://weiba.weibo.com 2、微吧回复主题的时候， 进行了CSRF校验， 但是，其逻辑是如果header里没有referer，也算校验通过，估计是为了兼容关闭了referer的浏览器而这样 3、但是，只要构造出不...

admin 11年前 (2014-03-10) 2122浏览 0评论

0x00 简要介绍 CSRF（Cross-site request forgery）跨站请求伪造，由于目标站无token/referer限制，导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式，CSRF利用方式可分为两种。 &nb...

admin 11年前 (2014-03-09) 4212浏览 0评论

HTML5 是下一代的 HTML，HTML5赋予网页更好的意义和结构。更加丰富的标签将随着对RDFa的，微数据与微格式等方面的支持，构建对程序、对用户都更有价值的数据驱动的Web。基于HTML5开发的网页APP拥有更短的启动时间，更快的联网速度。...

admin 11年前 (2014-03-09) 2164浏览 0评论

  CSRF 背景与介绍 CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患，比如 SQL 脚本注入，跨站域脚本攻击等...

admin 11年前 (2014-03-09) 2539浏览 0评论

大家都知道通常用csrf来上传一个文件不是很简单的.问题在于我们创建的假的表单提交的数据跟浏览器文件上传提交的数据有一点不同.那就是上传的请求会有一个filename的参数: -----------------------------25667262...

admin 11年前 (2014-03-09) 2255浏览 0评论

0×00 背景 提起浏览器的同源策略，大家都很熟悉。不同域的客户端脚本不能读写对方的资源。但是实践中有一些场景需要跨域的读写，所以出现了一些hack的方式来跨域。比如在同域内做一个代理，JSON-P等。但这些方式都存在缺陷，无法完美的实现跨域读写。所...