俗话说得好，思路才是最重要，本文章主要提供思路，各位师傅在挖掘漏洞的时候说不定也能碰到类似的点。思路：当我们在找可以构建csrf的时候，多找找可以提交上传图片的，部分是可以自由构建url，如图：漏洞位置：反馈位置构造csrf既然能任意构建url，并没有校验防御。开始找后台漏洞点添加管理员处抓包添加管理员转get试下，看能不能成功添加。发现可行，我们返回反馈列表抓包构建下poc：这里的话先构造一个添加管理员的，&符号需要编码下。【----帮助网安学习，以下所有学习资料免费领！加vx：yj009991，备注“博客园”获取！】　①网安学习成长路径思维导图　②60+网安经典常用工具包　③100+SRC

俗话说得好，思路才是最重要，本文章主要提供思路，各位师傅在挖掘漏洞的时候说不定也能碰到类似的点。思路：当我们在找可以构建csrf的时候，多找找可以提交上传图片的，部分是可以自由构建url，如图：漏洞位置：反馈位置构造csrf既然能任意构建url，并没有校验防御。开始找后台漏洞点添加管理员处抓包添加管理员转get试下，看能不能成功添加。发现可行，我们返回反馈列表抓包构建下poc：这里的话先构造一个添加管理员的，&符号需要编码下。【----帮助网安学习，以下所有学习资料免费领！加vx：yj009991，备注“博客园”获取！】　①网安学习成长路径思维导图　②60+网安经典常用工具包　③100+SRC

XSS和CSRF漏洞目录XSS和CSRF漏洞XSS漏洞介绍XSS分类利用XSS漏洞如何实行攻击利用XSS盗取用户的Cookie利用XSS实行钓鱼利用XSS进行键盘监控CSRF漏洞介绍CSRF漏洞攻击条件CSRF防御XSS漏洞介绍XSS（Cross-Site-Scripting），即跨站脚本攻击，是指攻击者利用Web服务器中的代码漏洞，在页面中嵌入客户端脚本（通常是一段由JavaScript编写的恶意代码），当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面，用户浏览器会自动加载并执行该恶意代码，从而达到攻击的目的。XSS分类反射型XSS存储型XSSDOM型XSS利用XSS漏洞如何

XSS和CSRF漏洞目录XSS和CSRF漏洞XSS漏洞介绍XSS分类利用XSS漏洞如何实行攻击利用XSS盗取用户的Cookie利用XSS实行钓鱼利用XSS进行键盘监控CSRF漏洞介绍CSRF漏洞攻击条件CSRF防御XSS漏洞介绍XSS（Cross-Site-Scripting），即跨站脚本攻击，是指攻击者利用Web服务器中的代码漏洞，在页面中嵌入客户端脚本（通常是一段由JavaScript编写的恶意代码），当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面，用户浏览器会自动加载并执行该恶意代码，从而达到攻击的目的。XSS分类反射型XSS存储型XSSDOM型XSS利用XSS漏洞如何