Oracle's Daily

半自动化资产检测，WEB渗透，burp及浏览器插件，社工钓鱼，APP小程序渗透，批量漏洞扫描，漏洞利用，内网渗透，隧道代理，免杀，Windows及linux应急响应，训练靶场环境部署等工具指引集成

漏洞氵（CVE-2023-2552）
漏洞描述：2.1.1之前版本GitHub存储库中存在的CSFR，利用网站$module/ajax.php功能中/xhr端点的预期方法中存在的执行逻辑问题实现跨站请求伪造

poc:
if( ($pageSlug === "xhr" or $pageSlug === "info") and ( !isset($_SERVER["HTTP_X_CSRF_TOKEN"]) or (isset($_SERVER["HTTP_X_CSRF_TOKEN"]) and $_SERVER["HTTP_X_CSRF_TOKEN"] !== $_SESSION["csrf_token"] ) ) ) {
header('HTTP/1.0 403 Forbidden');
die("Error: NMSL/WDNMD");
{

原理是当且仅当$pageSlug包含xhr或info时，才会实际检查CSRF令牌。向/$module/$action，发出GET或POST请求时包含文件/module/$module/$action。PHP文件在每个模块的目录中，（比如module/accounts/ajax.php. ）从而完全绕过CSRF检查。

原创，转载请标明出处

又到了五月这个网安人的痛苦考试月，扯几句cisp-pte考试的经验

在百度里搜cisp考试报名你会发现一堆机构，比如中培it和赛虎学院，他们都是收费一般都是一万九千八（纯圈钱），因为考试报名无法在网上自己报名必须通过这些机构所以很多人都挨过宰。实际上这将近两万块里一万四都是机构所谓的培训费（走过场，真只上那几天的培训能考得过个🔨）交给中国信息安全测评中心的报名费只有五千，有软考经历的应该比较懂，具体过程因人而异这里就不说了

关于考试，考试时间4个小时（上午场 8：30-12：30 ，下午场 13：30-17：30）详细知识点的可以参考频道文件下面的考试大纲。
题目分为选择题和实操题。实操题和ctf没有区别，获取在线场景或者日志分析漏洞getshell，再提交网站后台里的key.php文件，一个key10分所以实操一共是80分，主要难点在于考试现场只能使用考场提供的笔记本或者操作机，操作机不联网，靶场都是部署在本地的。考试机里提供的工具、脚本webshell都很少很老旧，甚至可能会需要为了考这个证专门去练一下旧版sqlmap和windows7/xp系统的文件操作。剩下只有20是选择题，选择题特点在于每道题确实不难但是覆盖范围很广，从最简单的sql注入原理到偏门LDAP和地标识别组内外键，以及Apache和IIS的各种解析后缀问题，主打一个感觉他考的这些知识点你都见过也大概也知道是什么，选项一看却怎么好像哪个都对，事实上正常遇到这种地方大家都是百度一下就完事了，他要这么考你也没法。选择题的核心就是快狠没有准，相信第一印象选了就走，这种死知识靠背的不是思考题，一直在那想来想去的最后想不出来（经验之谈）。选择题一个就一分千万别花时间，五十分钟以内不要磨把时间留给实操题，我做这个也是差不多二十道错四五道

PS:1.实操的两个场景是完全不同的， 一旦结束并进入第三部分的考试场景则第二部分的系统会自动还原。 两个考试场景可互相切换， 也就是说如果第三部分的题目不会做了， 还可以结束并进入第二部分的考试场景
2. key不能复制只能手动输入，一定要把每个字符都输对，这个不是人工判卷
3.实操爆破题和实战很多地方不一样经常有人翻车，burp 的 intruder 模块字典会给限制本地来源（X -Forwarded-For:127. 0. 0. 1 ，怕的是考试的时候有脑洞大的翻靶场文件的注册表把密码翻出来了），因为是考试所以登录密码一定是在他给的那个字典里的，如果爆完一遍不行就想加密，加密也不行就换思路说明这不是靠爆破做的题，不要自己现去写规则生成随机字典
4.考试题也有bug,举个例子有过xss题里把key是混淆写在 js 里的，控制台里直接alert()得出的答案就是正确的。这几年的实操题出过不止一次特别弱智的那种，一个半小时不到直接速通的人也有，相信自己直接莽上去就是

还有就是国内很多文章并非原创，csdn上大家互相抄，导致这种现象更为明显