0x00 前言 ​ 上一篇文章说到了Jsonp跨域劫持，那么自然的CORS跨域劫持也要研究一波，其实cors和jsonp劫持我个人理解为都可以算是csrf的范畴，因为都需要使用受害者的身份信息。 0x01 同源策略 ​ 同源策略是互联网通信的基石，要求同协议同域名同端口的网站才能进行资源的获取和共享，正因为有了同源策略才可以防止恶意网站对正常网站的…

0x00 前言 ​ 平时在漏洞挖掘的过程中一直都没怎么注意过jsonp和cors(感觉错过了很多漏洞orz)，其实就是本质上对漏洞的点和利用含糊其辞所导致的，最近看身边的师傅们有提到jsonp，所以专门来研究一下。 0x01 Jsonp劫持 什么是Jsonp ​ 在受到同源规则的限制下(同协议、同域名、同端口)，资源不允许跨域访问，但是在实际的使用…

0x00 前言 本周是在安恒实习的第三个星期，虽然实习之后忙碌了很多但是在过程中学习到了很多很多。本周一周都在某单位进行应急响应安全排查和windows的基线配置，这些事情在平时学习的过程中根本遇不到，所以来做一下简单的归纳和总结。同时还发现了一个个人问题就是自实习之后晚上回家就变成了懒狗orz。下周一定要调整过来 由于我还是个萌新所以肯定会有很多…