长知识了
一次CSRF测试引发的思考
事件发生的前奏
在一次CSRF测试中,绕过了一切防护,原本以为快要成功了然而事情并没有那么简单。。。。
https://*.huaweicloud.com/xxxx
我说这个地方有csrf,但是有点奇怪
1没关系 2可删除,你bp可以重放一个cookie正确的referer删除掉,origin换成你本地ip
登陆状态下点了之后会提示说未登陆导致csrf post不成功,origin referer都没验证,这个站同一个浏览器里点了cookie会改变
别的一般bypass 了 referer token origin X-Request-with基本就成功了。
点击收藏 | 0
关注 | 1