FreeBuf|挖洞经验 | 通过Tomcat Servlet示例页面发现的Cookie信息泄露漏洞( 二 )
本文插图
形成了以下POC验证页面:
本文插图
当然了 , 你也可以把页面边框变成透明 , 或在上面添加一个重叠元素 , 使其更具伪装性 。 执行上述POC页面之后 , 我的控制端就成功收到了Cookie信息 。
本文插图
经url解码后 , 就可以看到完整直观的Cookie内容了:
本文插图
经验总结经验就是 , 不要放过偏僻的子域名网站 , 也别忽略了会话或Cookie相关的页面 。
参考来源:
本文插图
本文插图
推荐阅读
- 电池|更换360 D819智能门铃电池经验
- FreeBuf|前微软工程师窃取千万美元:自己买车买房,同事做替罪羊
- 易文的趣简|微信商家资金被冻结怎么办,小微商户资金冻结怎么办经验分享
- FreeBuf|MontysThree工业间谍软件分析
- FreeBuf|DamnVulnerableCryptoApp:一款功能强大的弱加密实现检测工具
- 中年|双十一投影选购方案深度解析,极米H3使用经验分享
- 互联网|音乐业务的成功经验,能复刻在腾讯视频身上吗
- FreeBuf|CrowdStrike | 无文件攻击白皮书
- 互联网|阳光厨房“品质联盟”专区+外卖封签“广告招商”模式+记分管理“配套处置”机制,网络订餐玉环经验获全省推广
- FreeBuf|如何使用Qualys VMDR自动识别PAN-OS缓冲区溢出漏洞