记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

利用XSS绕过CSRF防御

在验证目标网站应用的xss漏洞时,我一般不会选择弹框的方式。我觉得最好的payloads是利用需要认证的功能,比如当管理员登录时就新建一个用户。其他有用的payloads取决于应用本身,比如在购物应用中购买一个商品或者在拍卖应用中竞价。这些攻击其实是一种有效的CSRF攻击。现在很多应用都增加了CSRF token来防止CSRF攻击。如果应用存在xss攻击,那么这种防护通常可以被绕过。以下就是利用xss漏洞来绕过CSRF防御在WordPress中添加用户的例子。需要管理员执行才能生效。//Use this to exploit XSS to compromise
发布时间:2018-07-12 12:20 | 阅读:108239 | 评论:0 | 标签:技术 利用XSS xss CSRF

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云