xsstoken专题

CSRF一-WEB攻防-CSRF请求伪造Referer同源置空配合XSSToken值校验复用删除

演示案例: CSRF-无检测防护-检测&生成&利用CSRF-Referer同源-规则&上传&XSSCSRF-Token校验-值删除&复用&留空 #CSRF-无检测防护-检测&生成&利用检测:黑盒手工利用测试,白盒看代码检验(有无token,来源检验等)生成:BurpSuite->Engagement tools->Generate CSRF Poc利用:将文件防止自己的站点下