2020年6月

记一次self xss与csrf的组合拳


前言
之前看过几篇表哥们self xss配合csrf打的组合拳,一直没找到机会试,最近终于找到一处并成功复现,就来记录一下,大佬们勿喷

self xss指的是只有自己能触发xss 其他用户触发不了的
一般都是出现在个人资料信息处 因为只有自己能触发 并没什么卵用
但配合csrf的话是可以让其他用户触发我们的xss