企业官网建设流程全解析

沈阳网站建设技术公司排名,网页制作代码模板,哈尔滨网站提升排名,广告制作公司名称文章目录 自动解压文件完成csrf攻击删除数据 步骤步骤总结 CSRF的拖库示例 discuz 示例地址:步骤分析 CSRF基于post请求添加账号示例 _**步骤即原理**_ URL短链接CSRF和Xss组合使用 自动解压文件完成csrf攻击删除数据 步骤 创建一个自解压文件 ! 有没有解压工具都可以解压 解…文章目录自动解压文件完成csrf攻击删除数据步骤步骤总结CSRF的拖库示例 discuz示例地址:步骤分析CSRF基于post请求添加账号示例_**步骤即原理**_URL短链接CSRF和Xss组合使用自动解压文件完成csrf攻击删除数据步骤创建一个自解压文件 !有没有解压工具都可以解压 解压的时候自动触发请求京东得请求 !解压后允许 自动触发的运行的动作点击安装 就会访问百度这种就是一种csrf攻击行为_。_很多网站关闭后 cookie还是存在的所以解压了还是存在csrf存在的漏洞演示一个需要cookie才能进行csrf攻击删除的网站。步骤总结http://192.168.1.9/pikachu/vul/overpermission/op2/op2_admin.php?id25删除执行语句 再没有cookie的网站会直接跳转到登录页面构建一个自动解压的压缩包 加入解压后执行语句点击解压 数据被删除CSRF的拖库示例 discuz示例地址:CSRF 跨站请求伪造快速拖库案例 - ‘拖库’本来是数据库领域的术语指从数据库中导出数据。到了黑客攻击泛滥的今天它被用来指网站遭到入侵后黑客窃取其数据库。网站数据库被拖直接导致用户信息泄露造成的危害很大比如CSDN明文密码泄露事件、小米800W用户信息泄露事件等等。他所造成的危害极高直接影响网站用户数据包括金钱、个人信息等步骤分析首先要知道后台数据备份的请求地址【也就是首先要知道配置配置sql的请求语句】后台用户登陆这 也就是管理人员已经登录 含有cookiebackupdirxxxxbackupfilenameaaaabackupdirxxxx%26backupfilename%3Daaaa备份语句-也就是需要伪造的csrf语句。http://192.168.30.129:90/upload/uc_server/admin.php?mdbaoperatetexportappid0backupdirxxxx%26backupfilename%3Daaaa这种脱库操作一般情况下是进行代码审计出现的。首先备份数据 也就是sql语句 相当于拖走数据库管理员登录 备份数据库成功 sql脚本成功。BP抓取数据查看 数据请求模式 这也就是备份数据语句后台管理员 其实这个就是伪造语句。GET http://192.168.1.9/dz/upload/uc_server/admin.php?mdbaoperatetexportappid0backupdirbackup_240624_46gKHL HTTP/1.1伪造src请求 图片备份数据请求 插入图片src 同时有后台登录状态的用户 这样就是csrf攻击.我们再使用原来有管理员登陆的浏览器访问这个帖子在访问论坛这个帖子之前刷新一下后台页面保证没有因为长时间未操作而引起登陆会话超时造成实验失败最后通过地址访问到特定的目录下就可以访问到sql文件了http://192.168.1.9/dz/upload/data/backup_240624_YEV9tP/240624_CxA7Yj-1.sql备注:复杂的攻击行为 可能是通过代码审计出现发现的漏洞 而不是单纯的渗透进行的发现的bug.CSRF基于post请求添加账号示例步骤即原理管理员需要登录到后台且抓取到后台管理员新建用户的请求通过bp新建poc html在后台管理员登录的情况下我们就可以利用crsf 可创建用户。首先登录我们的模拟网站 的后台 添加管理员账户 。这也就是需要一个cookie-CSRF通过抓包获取到请求 这是一个post请求 我们需要引导用户进行post请求通过bp构造一个csrf攻击的页面生成poc攻击代码我们需要知道后台攻击代码且后台用户已经登录。攻击者调用这个页面就可以新建用户名密码URL短链接1 伪装我们自己的csrf请求地址2 我们通过短链接来伪造 使用者看不出来 真实的访问地址3 短链接生成需要自己百度收集CSRF和Xss组合使用这个两句话就搞好了被测网站含有XSS漏洞编写XSRF的poc发送poc给被攻击主机csrf漏洞结合XSS漏洞注入 搞忘 实现了跨站脚本伪造攻击网络安全学习资源网上虽然也有很多的学习资源但基本上都残缺不全的这是我们和网安大厂360共同研发的的网安视频教程内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识而且包含了中级的各种渗透技术并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频100多本网安电子书最新学习路线图和工具安装包都有不用担心学不全。这些东西我都可以免费分享给大家需要的可以点这里自取:网安入门到进阶资源