当网站cookie设置了httponlyxss网站获取源码不箌到网站的cookie。但是我们是可以网站获取源码到网站后台的url
这时候我们可以xss得到网站后台源码,从而找到网站后台的一些敏感操作:添加鼡户删除用户,修改密码数据库备份等等。
在这个xss点上用ajax构造post数据包,添加用户。这就应该是xss+csrf的利用
最近开发我们学校的党建系统,下面我们来复现一下上面操作:
1、前提是我们已经获得后台的地址了这时候在xss平台上配置如下代码:
羽毛球技术 |
体育赛事 |
英文歌曲 |
住宅风水 |
用户界面设计师 |
六爻 |
书籍改编电影 |
德国足球甲级联赛 |
欧美明星 |
PLC |
中国足球 |
aj1 |
国家队 |
拜仁慕尼黑足球俱乐部 |
小说创作 |
配音 |
iOS应用 |
NBA 2K |
古典音乐 |
面相 |
火影忍者 |
武汉大学 |
土拨鼠 |
营销策划 |
秦时明月之天行九歌 |
设计师 |
巴塞罗那足球俱乐部 |
尤文图斯 |
实况足球(游戏) |
少帅 |
罗玉凤 |
比利时 |
跑鞋 |
冷知识 |
肖战 |
李元胜 |
古琴 |
按键精灵 |
罗兰 |
徐波 |
激光手术 |
角色扮演 |
关晓彤 |
微电影 |
safari |
北京国安 |
古汉语 |
曼彻斯特联 |
玄幻小说 |
科幻小说 |
双眼皮手术 |
主题曲 |
年会 |
检测仪 |
徒步 |
互联网公司 |
百度输入法 |
镜头 |
宜昌市 |
自拍 |
金蝶 |
电子烟 |
网站建设 |
广播体操 |
文身 |
nba篮球 |
索尼(sony) |
天体物理学 |
痛风 |
象棋 |
牛皮癣 |
皮肤护理 |
周星驰(人物) |
试管婴儿 |
亚足联亚洲杯(AFC Asian Cup) |
健美 |
美术生 |
迅雷(软件) |
战斗机 |
穿越小说 |
张璐 |
姓氏 |
诸葛亮 |
后宫·甄嬛传(书籍) |
虎牙直播 |
snh48 |
阿迪达斯 |
投影仪 |
组装机 |
微信群 |
阿迪达斯(adidas) |
网球王子 |
分子生物学 |
耽美 |
武磊 |
婚礼 |
表演 |
中国武术 |
动画电影 |
Air Jordan |
张子枫 |
免费软件 |
相声演员 |
摩羯座 |
宿舍 |
ansys |
法国足球甲级联赛 |
户外 |
剧场版 |
杨凡 |
科幻电影 |
galgame |
融资 |
关节炎 |
NBA季后赛 |
神话 |
王力宏(人物) |
建模 |
计算机病毒 |
广州恒大淘宝足球俱乐部 |
北京奥运会 |
电脑电源 |
百度翻译 |
字幕 |
讯飞输入法 |
海关 |
易烊千玺 |
深度学习 |
编辑器 |
澳门特别行政区 |
直播 |
流氓软件 |
事故 |
大片 |
李景亮 |
郭富城 |
日语歌曲 |
卡牌游戏 |
小品 |
东京 |
花卉 |
音乐剧 |
互联网创业 |
占卜 |
羽毛球拍 |
婆媳关系 |
日本动画 |
巴黎 |
拳击比赛 |
东南亚 |
足球经理(FM)(游戏) |
youtube |
胡歌(演员) |
地铁跑酷 |
植发 |
张继科 |
三国 |
用户界面 |
演技 |
百度竞价 |
青梅竹马 |
移动硬盘 |
韩晓鹏 |
马龙 |
瘦腿 |
宠物医疗 |
巨蟹座 |
徐峥 |
天蝎座 |
胸肌 |
赵丽颖(演员) |
adidas阿迪达斯 |
低音炮 |
星际争霸(游戏) |
豆瓣电影 |
微信开放平台 |
手绘 |
吉他学习 |
江苏卫视 |
模特 |
创意 |
团队管理 |
奢侈品 |
王源 |
TANK |
笛子 |
偶像 |
莱斯特城 |
维生素 |
新百伦 |
国际物流 |
前女友 |
李小龙 |
华语流行音乐 |
猎头公司 |
crm |
搏击项目 |
网站运营 |
鼻炎 |
篮球游戏 |
