js实现自动添加关注(CSRF)

最新推荐文章于 2022-11-25 15:00:11 发布
转载 最新推荐文章于 2022-11-25 15:00:11 发布 · 254 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/yhb3420/p/3803154.html

作者在博客园尝试了一次CSRF测试,通过批量删除博文来探索平台的安全边界。该过程涉及利用JavaScript进行自动化操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

注册了都三年多了,一直都只是一个看客,打算以后在博客园混混,希望大家多多帮助。

首先声明一下,本文并没有添加任何自定义js,我并没有恶意,也希望同学们不要滥用,博客园对我们是开放的,我们也要珍惜。

 

如果感兴趣,您可以访问 --->点我<---

 

发现CSRF的起因是删除博文:原来在javaeye混过几天,打算把javaeye的文章全部搬过来,通过“博客搬家”功能把原来的文章都搬来了,可是原来的代码格式有些丢失,附件也无法搬家,有些文章看上去怪怪的,所以干脆重头开始。

然后就开始删除搬来的50多篇博文,但是博客园不提供批量删除的功能,只能一条条点“删除”,点“确认”,点“删除”,点“确认”……

为了偷懒,于是出现了下面代码(对于一次性的代码希望大家不要认真):

 1 void(document.body.innerHTML.replace(/"return DeletePost\((\d+),([^"]+)\)"/g, function () {
 2     var thatArguments = arguments;
 3     $.ajax({
 4         type: 'POST',
 5         dataType: 'json',
 6         contentType: 'application/json',
 7         url: 'post/delete',
 8         data: '{postId:' + arguments[1] + '}',
 9         success: function (data) {
10             console.log(thatArguments[1], thatArguments[2], '删除成功.')
11         }
12     });
13     return arguments[0];
14 }));

删除的效果图(请勿模仿):

 

删除完这些博文后,我就想试试博客园有多开放,测试了下,果真很开放。。。

想体验开放程度的同学请进(无恶意代码) 

--->点我<---

 

 

具体细节我就不写了,感兴趣的同学进去上面的页面自己就可以弄清楚了。

 

 

转载于:https://www.cnblogs.com/yhb3420/p/3803154.html

CSRF漏洞
Ryongao
02-20 333
本文章仅限于网络安全教学,严禁用于非法途径。若有人因此作出危害网络安全行为后果自负,与本人无关。
148.CSRF攻击原理分析、防御、装饰器、中间件、IFrame以及js实现csrf攻击
zjy123078_zjy的博客
02-22 763
CSRF攻击概述: CSRF(Cross Site Request Forgery 跨站域请求伪造)是一种网站攻击的方式,它在2007年曾被列为互联网20大安全隐患之一。其他的安全隐患,比如SQL脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF还是很陌生的,Gmail在2007年底也存在csrf漏洞,从而被黑客攻击而使Gmail...
csrf校验插件-js
05-03
使用该插件可以在使用js向后端提交数据时进行csrf校验
Egg.js 使用POST方式提交表单时的 CSRF 安全验证问题
GentleSevenV的博客
11-25 705
Egg.js 在使用POST方式提交表单数据时会自动进行 CSRF 安全验证,invalid csrf token。
微信公众平台 分享 关注 js功能代码
瑺圊樹的专栏
06-07 925
微信很火,微信推出的公众平台也吸引了一部分市场宣传推广团队,像冷笑话大全这种微博养粉大户在微信的公众平台也是异常火爆。 因工作需求,最近为我们的市场部做了几个微信公共平台下的页面,其中涉及微信公众账号的友情链接,转发一篇文章到微信朋友圈,判断是否转发成功的回调机制,判断是否成功关注微信帐号等的前端代码,我也是通过分析冷笑话大全的页面找到的方法,也google过,但没找到微信官方有公布过相关文档,
js面向对象(只关注对象提供的功能,而不需要关系其细节)
持之以恒
07-17 323
1、构造方法:用于属性 2、原型:用于函数 function createPerson (name,qq){ //构造函数 //隐含 var this = new createPerson(); this.name = name; this.qq = qq; } createPerson.protot
JavaScirpt自动关注,直到你想停止为止。
gwdfff的博客
02-02 249
(2020-2-2 23:06:24) 处理网页.https://gitee.com/改为你的用户名/dashboard // https://gitee.com/用户名/dashboard var alls=document.querySelectorAll("div.ui.small.basic.orange.button") for(i=0;i<alls.length;i++){ ...
csrf-xhr:Rails自动添加CSRF令牌到XMLHttpRequest的实现
资源摘要信息:"csrf-xhr是一个JavaScript库,专门设计用于在Rails应用中自动CSRF令牌添加到所有符合条件的XMLHttpRequest请求头中。CSRF(跨站请求伪造)是一种攻击方式,它迫使终端用户在已认证的状态下执行非...
DunglasAngularCsrfBundle:使用Symfony API对JavaScript应用程序进行自动CSRF保护
01-29
JavaScript CSRF保护包 已封存! 现在,所有现代浏览器都实现了SameSite cookie和Origin HTTP标头,在大多数情况下,不再需要此捆绑包。 。 如果需要维护旧的应用程序,请查看 。 该和捆绑包为客户端应用程序提供了...
espcms csrf漏洞 导致任意管理员添加1
08-03
2. 这个页面中包含了用于添加管理员的所有必要参数,如用户名、密码等,并且通过JavaScript自动提交表单。 3. 攻击者将这个恶意页面链接通过邮件、社交媒体或其他方式发送给目标用户,或者嵌入到其他网站上,诱导...
虾皮关注及取关粉丝工具(自动化操作)
04-14
适合所有虾皮站点,操作非常简单,支持远程协助使用。
php关注好友和取消关注,jQuery实现点击关注和取消功能
weixin_39995774的博客
03-10 129
点赞,网络用语,表示“赞同”、“喜爱”。该网络语来源于网络社区的“赞”功能。送出和收获的赞的多少、赞的给予偏好等,在某种程度能反映出你是怎样的人以及处于何种状态。点赞的背后,反映出你自己。与之对应的便是取消功能。恰巧最近博主在一款APP,其中一个版块需要实现点赞和取消功能,经过思考决定用JQuery代码实现它,好了废话不多说,上干货!!首先要引入JQuery插件其次,我们需要定义一个div,并给它...
CSRF 令牌 & JavaScript
weixin_30845171的博客
04-01 571
当构建由 JavaScript 驱动的应用时,可以方便地让 JavaScript HTTP 函数库发起每一个请求时自动附上 CSRF 令牌。默认情况下, resources/js/bootstrap.js 文件会用 Axios HTTP 函数库注册的 csrf-token meta 标签中的值。如果你不使用这个函数库,你需要手动为你的应用配置此行为。 从bootstrap.js中的以下...
CSRF漏洞挖掘关注以下几点
thislocal的博客
03-23 395
1、目标表单是否有有效的token随机串; 2、目标表单是否有验证码; 3、目标是否判断了Referer来源; 4、网站根目录下crossdomain.xml的“allow-access-from domain”是否是通配符; 5、目标JSON数据是否可以自定义callback函数等。
使用JavaScript语言配合开发者工具获取B站关注或粉丝的详细信息
Dragon65535的博客
01-22 1497
使用JavaScript语言配合开发者工具获取B站关注或粉丝的详细信息 说明:需要在浏览器登录自己的B站账号,才能获取到自己关注或粉丝的完整的信息,否则以访客的身份只能获取到前五页用户的信息,而且会出现代码一直循环获取第五页用户数据的情况! 使用方法 1.打开B站个人空间的关注或粉丝列表 关注:https://space.bilibili.com/用户ID/fans/follow 粉丝:https://space.bilibili.com/用户ID/fans/fans 2.打开开发者工具(F12)选择Con
js 提交表单添加csrf
weixin_30577801的博客
02-15 409
function post(path, shipmentMap, method) { method = method || "post"; // Set method to post by default if not specified. var token = $('meta[name="_csrf"]').attr('content'); var token...
js提交csrf代码
douyunqian668的博客
09-25 1146
var token=$.cookie("csrftoken"); $.ajaxSetup({ beforeSend:function (xhr,settings) { if(!this.crossDomain &amp;&amp; !csrfSafeMethod(settings.type)){ cons...
怎么从H5广告页内复制微信号直接调起微信客户端关注公众号
weixin_34245749的博客
06-12 2063
外部H5页面内实现关注公众号的微信JSSDK没有相关接口开放,因此就得动点脑筋来实现该功能了。下面的方法就是通过一种非常蹊跷的方式实现的。首先,需要在公众号内发表一篇原创文章,注意是原创文章,然后由另一个公众号去转载该文章,注意是转载,不是转发,也不是分享。这样就会在转载的文章下面生成如下链接。 点击该链接,会进入该公众号,如果没有关注该公众号,会显示“关注”按钮,关注了该公众号会显示为“进入公...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值