水坑配合JSON Hijacking


jsonp:解决跨域的问题水坑***:引用百度百科”,寻找***目标经常访问的网站的弱点,先将此网站“攻破”并植入***代码,一旦***目标访问该网站就会“中招”,简单的说 免费云主机域名你要搞XX人 你通过前期的信息收集 知道他的人都一般去什么网站 之后搞定经常上的这个网站 在这个网站挂马 我会告诉你 我12年的时候就是这样XX了某个国外的企业么。
今天的这个漏洞主要是获取个人信息,并没有针对这些人进行***,漏洞都是玩烂的。大概说下我知道的利用水坑配合jsonp进行***的首先网站你需要登录 不登录获取不到轻松获取网站访客QQ号码jsonp探针 定位目标虚拟身份信息(利用cookie进行追踪 就算你挂层层代理 也可以获取信息)某公司被X 想定位这个人到这个人 在***的webshell插入js代码 进行定位
防御:最简单也最懒的办法:referer验证(写好正则 别出现126.com.tk这种的域名可以绕过referre 还要别写为空 referer是可以为空的 可以绕过)tokenContent-Type严格使用application/json不然callback自定义那里也会出现反射的xss。
有的东西只有让大众关注的时候,很多人去搞的时候厂商才会意识到多么的危险,这样的例子也不少,就像当年的xss,xss盲打平台没有出来的时候 很多人都不去关注xss。

相关推荐: linux可不可以运行两个tomcat

这篇文章主要讲解了“linux可不可以运行两个tomcat”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“linux可不可以运行两个tomcat”吧! linux可以运行两个tomcat。运行方法:1、利用“vi…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 01/25 12:02
下一篇 01/25 12:02