jenkins版本我的jenkins版本是：2.332.4背景Jenkins版本自2.204.6以来的重大变更有：删除禁用CSRF保护的功能。从较旧版本的Jenkins升级的实例将启用CSRF保护和设置默认的发行者，如果之前被禁用。解决方法老版本Jenkins的CSRF保护功能只需要在系统管理>全局安全配置中便可进行打开或者关闭。让人头疼的是较高版本的Jenkins竟然在管理页面关闭不了CSRF新版本呢解决方式是在Jenkins启动前加入相关取消保护的参数配置后启动Jenkins，即可关闭CSRF启动时加上该参数即可-Dhudson.security.csrf.GlobalCrumbIssue

数据来源部分数据来源：ChatGPT  一、跨站脚本攻击简介1、什么是跨站脚本攻击?        跨站脚本攻击（Cross-sitescripting，XSS）是一种常见的网络安全漏洞，攻击者通过在受害网站注入恶意脚本代码，使得其他用户访问该网站时执行这些恶意代码，从而达到攻击的目的。2、危害?获取用户信息：(如浏览器信息、ip地址、cookie信息等）钓鱼：(利用xss漏洞构造出一个登录框，骗取用户账户密码，提示登录过期，模拟一个网站的登录框，将用户名、密码发送到攻击者服务器）注入木马或广告链接：(有些在主站注入非法网站的链接，对公司的声誉有一定的影响)·后台增删改网站数据等操作：(配合C

1.反射性xss（reflacted） 仅执行一次，非持久型。主要存在于攻击者将恶意脚本附加到url的参数中，发送给受害者，服务端未经严格过滤处理而输出在用户浏览器中，导致浏览器执行代码数据。利用场景：直接插入JS代码，修改url参数  攻alert('hack')防$name=str_replace('',' ',$name)   #将替换成空攻alert('hack')  pt>alert('hack')防$name=preg_replace('/攻 #用事件代替标签防$name=htmlspacialchars($name);  #htmlspacialchars(string)把预定义

漏洞详情：在JQuery的诸多发行版本中，存在着DOM-based XSS（跨站脚本攻击的一种)漏洞，易被攻击者利用。漏洞原因在于过滤用户输入数据所使用的正则表达式存在缺陷，可能导致location.hash跨站漏洞。漏洞发现：最简单方式，通过火狐浏览器的retire.js插件，访问目标网站发现。或者通过扫描器，找到JQuery版本信息漏洞验证：漏洞发现者提供了JavaScriptXSSDemoPOC，使用POC验证漏洞情况jQueryXSSExamples(CVE-2020-11022/CVE-2020-11023)functiontest(n,jq){sanitizedHTML=docum

文章目录前言一、CSRF跨站请求伪造漏洞原理利用防御实战1.原理1.1CSRF简介1.2会话机制1.3总结2.渗透2.1BeEF+XSS实现CSRF（GET方法实现密码修改）2.2BeEF+BurpSuite实现CSRF（POST方法实现信息提交）3.防御3.1二次认证3.2令牌（Token）3.3其他方法前言CSRF（Cross-SiteRequestForgery，跨站请求伪造）攻击是一种常见的网络安全漏洞，在网站应用中比较常见。攻击者利用用户已经登录的身份，在用户不知情的情况下，以用户的名义完成非法操作，

这里给大家分享我在网上总结出来的一些知识，希望对大家有所帮助前言：我们知道同源策略可以隔离各个站点之间的DOM交互、页面数据和网络通信，虽然严格的同源策略会带来更多的安全，但是也束缚了Web。这就需要在安全和自由之间找到一个平衡点，所以我们默认页面中可以引用任意第三方资源，然后又引入CSP策略来加以限制；默认XMLHttpRequest和Fetch不能跨站请求资源，然后又通过CORS策略来支持其跨域。不过支持页面中的第三方资源引用和CORS也带来了很多安全问题，其中最典型的就是XSS攻击。什么是XSS攻击XSS全称是CrossSiteScripting，为了与“CSS”区分开来，故简称XSS，

🤵‍♂️个人主页:@计算机魔术师👨‍💻作者简介：CSDN内容合伙人，全栈领域优质创作者。🌐推荐一款找工作神器网站:牛客网🎉🎉|笔试题库|面试经验|实习招聘内推还没账户的小伙伴速速点击链接跳转牛客网登录注册开始刷爆题库，速速通关面试吧🙋‍♂️该文章收录专栏✨—【Django|项目开发】从入门到上线专栏—✨文章目录一、演示CSRF漏洞二、环境准备三、模拟黑客🐱‍👤四、解决办法五、SQL注入攻击漏洞一、演示CSRF漏洞二、环境准备假设我们此时有一个视图用于创建hr管理员，不受csrf_token保护的情况创建注册模板页面{%extends'base.html'%}{%blockcontent%}{#

🤵‍♂️个人主页:@计算机魔术师👨‍💻作者简介：CSDN内容合伙人，全栈领域优质创作者。🌐推荐一款找工作神器网站:牛客网🎉🎉|笔试题库|面试经验|实习招聘内推还没账户的小伙伴速速点击链接跳转牛客网登录注册开始刷爆题库，速速通关面试吧🙋‍♂️该文章收录专栏✨—【Django|项目开发】从入门到上线专栏—✨文章目录一、演示CSRF漏洞二、环境准备三、模拟黑客🐱‍👤四、解决办法五、SQL注入攻击漏洞一、演示CSRF漏洞二、环境准备假设我们此时有一个视图用于创建hr管理员，不受csrf_token保护的情况创建注册模板页面{%extends'base.html'%}{%blockcontent%}{#

文章目录前言一、XSS跨站脚本渗透漏洞原理利用防御1.原理1.1简介1.2危害1.3分类1.4思路2.渗透2.1XSS脚本解读2.1.1常用HTML标签2.1.2常用JavaScript方法2.1.3构造XSS脚本2.2反射型XSS2.2.1低安全级别2.2.2中安全级别2.2.3高安全级别2.3存储型XSS2.3.1低安全级别2.3.2中安全级别2.3.3高安全级别

跨站脚本渗透任务环境说明：需求环境可私信博主！服务器场景：Server2125(关闭链接)服务器场景操作系统：未知访问服务器网站目录1，根据页面信息完成条件，将获取到弹框信息作为flag提交；访问服务器网站目录2，根据页面信息完成条件，将获取到弹框信息作为flag提交；访问服务器网站目录3，根据页面信息完成条件，将获取到弹框信息作为flag提交；访问服务器网站目录4，根据页面信息完成条件，将获取到弹框信息作为flag提交；访问服务器网站目录5，根据页面信息完成条件，将获取到弹框信息作为flag提交；访问服务器网站目录6，根据页面信息完成条件，将获取到弹框信息作为flag提交；解题步骤如下：跨站