溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
jsonp:解決跨域的問題
水坑***:引用百度百科",尋找***目標經常訪問的網站的弱點,先將此網站“攻破”并植入***代碼,一旦***目標訪問該網站就會“中招”,簡單的說 你要搞XX人 你通過前期的信息收集 知道他的人都一般去什么網站 之后搞定經常上的這個網站 在這個網站掛馬 我會告訴你 我12年的時候就是這樣XX了某個國外的企業么。
今天的這個漏洞主要是獲取個人信息,并沒有針對這些人進行***,漏洞都是玩爛的。
大概說下我知道的利用水坑配合jsonp進行***的
首先網站你需要登錄 不登錄獲取不到
輕松獲取網站訪客QQ號碼
jsonp探針 定位目標虛擬身份信息 (利用cookie進行追蹤 就算你掛層層代理 也可以獲取信息)
某公司被X 想定位這個人到這個人 在***的webshell插入js代碼 進行定位
防御:
最簡單也最懶的辦法:referer驗證(寫好正則 別出現126.com.tk這種的域名可以繞過referre 還要別寫為空 referer是可以為空的 可以繞過)
token
Content-Type嚴格使用application/json 不然callback自定義那里也會出現反射的xss。
有的東西只有讓大眾關注的時候,很多人去搞的時候廠商才會意識到多么的危險,這樣的例子也不少,就像當年的xss,xss盲打平臺沒有出來的時候 很多人都不去關注xss。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
