JSONP注入实践Stbird专注于互联网信息安全的科技媒体http://www.mottoin.com1 人赞同了该文章原文链接：http://www.mottoin.com/95682.html---------------------------------------------------------------------------------------...

1、JSON 注入JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源，程序没有对这些不可信赖的数据进行验证、过滤，如果应用程序使用未经验证的输入构造 JSON，则可以更改 JSON 数据的语义。在相对理想的情况下，攻击者可能会插入无关的元素，导致应用程序在解析 JSON数据时抛出异常。本文以JAVA语言源代码为例，分析“JSON注入”漏洞产生的原因以及修复方法。该漏洞的详细介绍..

Xml外部实体注入(XXE)除了json外，xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式：DOM，SAX，JDOM，DOM4J，StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞，如微信支付的回调就出现过（见参考资料2）。XML文档结构包括xml声明，DTD文档类型定义(可选)和文档元素，如下图所示：DTD的作用是定义XML文档的合法构建模块，可以...

你们都知道CSRF是什么，如果不是的话，您就不会出现在我的博客上。今天，在本文中，我将解释对测试网站的CSRF保护的四个简单测试，这些测试可能会导致CSRF绕过，这反过来可以为您赚钱。1. 在帐户之间使用CSRF令牌最简单和最致命的CSRF绕过是当应用程序不验证CSRF令牌是否绑定到特定帐户而仅验证算法时。为了验证这一点从帐户A登录到应用程序转到其密码更改页面使用b...