0x01 xsser xsser是一款用于针对Web应用程序自动化挖掘、利用、报告xss漏洞的框架。kali默认安装。 命令行启动:xsser 图形化界面启动:xsser --gtk 帮助信息:xsser -h或xsser --help 0x02 XSStrike 1.简介 XSStrike是一款检 ...
分类:
其他好文 时间:
2020-04-07 12:27:54
阅读次数:
92
一开始接触CSRF的时候其实感觉和CSS有些相似,但在学习中发现CSS其实是得到了用户的权限,但是CSRF并没有得到用户的权限,他只是借用了用户的权限完成了攻击。 CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-cl ...
分类:
其他好文 时间:
2020-04-07 09:16:24
阅读次数:
60
XSS盲打 1.在提交框随意输入一段内容,可以发现并没有在前端进行输出,我们根据提示(pikachu平台每关所给的提示真的超级重要的)登陆一下pikachu的后台。 2.输入一段js代码看一下后台的情况。我们输入的js代码已经被后台成功执行了。盲打和存储型有些相似危害还是很大的,如果后台执行过滤不严 ...
分类:
其他好文 时间:
2020-04-04 22:29:28
阅读次数:
181
XSS漏洞是一种发生在Web前端危害较大的漏洞,其危害对象主要是前端用户,此漏洞可以用来进行钓鱼攻击,前端js挖矿,用户cookie获取,甚至结合浏览器对用户主机进行远程控制等。 XSS漏洞常见类型有3种,分别是反射型,储存型和DOM型,危害性:储存型>反射型>DOM型。 反射型:交互数据一般不会储 ...
分类:
其他好文 时间:
2020-04-04 14:33:33
阅读次数:
71
一、JVM内存模型 1、程序计数器记录正在执行的虚拟机字节码地址。 2、JAVA虚拟栈JAVA方法执行时创建的栈帧,用于存储局部变量表、操作数栈、常量池引用等信息。可以用过-Xss来设置java虚拟栈内存大小,JDK1.4默认256k,JDK1.5以后默认1.5M。 java虚拟栈中可能会抛出以下异 ...
分类:
其他好文 时间:
2020-04-04 00:18:13
阅读次数:
64
XSS简介 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射型XSS; 2.存储型XSS; 3.DOM型XSS; 1.反射型xss(get传参) 打开pikachu对应的这一关,我们发 ...
分类:
其他好文 时间:
2020-04-03 22:03:13
阅读次数:
200
1、面向对象的特征有哪些方面? 2、访问修饰符public,private,protected,以及不写(默认)时的区别? 3、String 是最基本的数据类型吗? 4、float f=3.4;是否正确? 5、short s1 = 1; s1 = s1 + 1;有错吗?short s1 = 1; s ...
分类:
编程语言 时间:
2020-04-03 21:57:14
阅读次数:
74
在练习之前我们来讲一讲XSS的基本知识吧! 什么是XSS攻击:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制–例如同源策略(same origin polic ...
分类:
其他好文 时间:
2020-04-03 21:35:34
阅读次数:
64
Security Headers--安全头系列 1)CSP 内容安全策略——开启后,请求头部增加 Content-Security-Policy:object-src 'self' 设置 2)XSS 攻击防护——开启后,请求头部增加 X-XSS-Protection:1; mode=block 设置 ...
分类:
其他好文 时间:
2020-04-03 16:48:17
阅读次数:
190
wxss中 page{ width:100%; height:100vh; background-image:url("转码 base64") background-size: cover; background-repeat: no-repeat; } 这样可以满屏 可是!!! 当内容过多 即屏幕 ...
分类:
其他好文 时间:
2020-04-03 13:42:39
阅读次数:
83
