Публикации по теме 'cross-site-scripting'
TryHackMe: Топ-10 OWASP || Серьезность 7 || Межсайтовый скриптинг
#1 Перейдите по адресу http://10.10.227.118/ в браузере и щелкните вкладку Отраженный XSS на панели навигации; создайте отраженную полезную нагрузку XSS, которая вызовет всплывающее окно с надписью Привет .
<script>alert("Hello")</script>
#2. На той же отражающей странице создайте отраженную полезную нагрузку XSS, которая вызовет всплывающее окно с IP-адресом вашего компьютера.
<script>alert(window.location.host)</script>
#3. Теперь..
Введение в XSS-уязвимости на основе DOM
Я уверен, что если вы здесь, вы слышали о межсайтовом скриптинге или, как мы любим его сокращать, XSS. Конечно, существуют разные типы, но сегодня я хочу остановиться на конкретном, который редко затрагивается: уязвимость межсайтового скриптинга на основе DOM.
Давайте сначала рассмотрим, что такое DOM. Аббревиатура DOM расшифровывается как объектная модель документа. Это способ представления и работы с объектом в HTML-документе. Когда скрипт выполняется, он не просматривается сервером,..
Как защититься от CSRF с помощью JWT
CSRF (подделка межсайтовых запросов)
Это означает, что вы открываете две вкладки в браузере, одна из которых отправляет фальшивый запрос, крадя файл cookie другой страницы, потому что файл cookie автоматически отправляется в запрос. На стороне сервера.
JWT (веб-токен JSON)
Алгоритм, который шифрует два объекта JSON в строку, представляющую уникального пользователя.
Генерация CSRF
Если вы хотите успешно атаковать, без этих трех шагов не обойтись.
Сначала войдите на сайт..