背景介紹 公司需要上線新業(yè)務(wù),發(fā)現(xiàn)了有個(gè)應(yīng)用沒有對(duì)CSRF做防護(hù)构舟,本來想著使用burpsuite簡單的生成一個(gè)POC就可以產(chǎn)出了枫匾。結(jié)果發(fā)現(xiàn)如下問題架诞,在使用form的表格進(jìn)行C...
發(fā)簡信
IP屬地:重慶
-
json CSRF
-
關(guān)于寬字符跨站和一些過濾
目前UTF-8 字符集比較可靠 但是如果服務(wù)器在響應(yīng)的時(shí)候,沒有對(duì)Content-type:text/heml;charset=utf-8 做強(qiáng)制制定干茉,會(huì)導(dǎo)致安全風(fēng)險(xiǎn)谴忧,因?yàn)楹?..
-
打造域名監(jiān)控腳本
聯(lián)想的域名劫持事件剛剛結(jié)束不就,前面的文章中有大牛已經(jīng)分析了一些事件角虫。作為企業(yè)安全人員沾谓,更關(guān)心的的是這種事件如何盡早發(fā)現(xiàn)。通過外媒對(duì)聯(lián)想的域名劫持事件的報(bào)道戳鹅,透露出事情發(fā)生后...
-
