前言 关于XSS基础内容请查看:https://www.cnblogs.com/xhds/p/12239527.html 实验平台采用DWVA v1.10 XSS(Reflected)反射性XSS漏洞 XSS( Reflected) Vulnerability: Reflected Cross Si ...
分类:
其他好文 时间:
2020-01-29 21:25:53
阅读次数:
71
0x00 XSS漏洞简介 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当 ...
分类:
Web程序 时间:
2020-01-29 12:24:41
阅读次数:
111
前言 XSS漏洞 Xss(Cross-Site Scripting)意为跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS漏洞是一种在WEB应用中常见的安全漏洞,它孕育用户将恶意代码植入web页面,当其他用户访问此 ...
分类:
其他好文 时间:
2020-01-29 10:44:55
阅读次数:
87
0x00 知识点 SSTI模板注入: 模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程 服务端把用户输入的内容渲染成模板就可能造成SSTI(Server Side Template Injection) 0x01模板引擎 模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业 ...
分类:
其他好文 时间:
2020-01-28 21:23:22
阅读次数:
180
XSS 存在的三个条件 网站应用程序必须接受用户的输入信息 用户的输入会被网站用来创建动态内容 用户的输入验证不充分 输入过滤,输出转义:检查用户输入含有攻击信息,尽可能过滤攻击信息;如果不能判断哪些是攻击信息,那么要使得显示的时候不能发送攻击 输入过滤 使用黑名单,从用户的输入中删除 <scrip ...
分类:
Web程序 时间:
2020-01-27 15:25:37
阅读次数:
83
XSS攻击即为(Cross Site Scripting), 中文为跨站脚本。 之所以它的名字不是CSS而是XSS,是为了区分CSS。 XSS攻击是发生在目标用户的浏览器上的,当渲染DOM树的过程中执行了不该执行的JS代码时,就发生了XSS攻击。跨站脚本的重点不是“跨站”,而是“脚本” 页面执行不该 ...
分类:
Web程序 时间:
2020-01-27 15:23:08
阅读次数:
149
JVM的结构图 Java内存结构 JVM内存结构主要有三大块:堆内存、方法区和栈。 堆内存是JVM中最大的一块由年轻代和老年代组成,而年轻代内存又被分成三部分,Eden空间、From Survivor空间、To Survivor空间,默认情况下年轻代按照8:1:1的比例来分配; 方法区存储类信息、常 ...
分类:
其他好文 时间:
2020-01-26 19:10:01
阅读次数:
68
天气微信小程序,通过数据绑定的方式来显示温度、最低温度、最高温度及其他天气情况。 ...
分类:
微信 时间:
2020-01-25 23:40:03
阅读次数:
192
HTML4与更早版本的向量 通过<FRAMESET>和onload执行JavaScript 这个经典的向量表明,有几个标记不需要“src”属性来触发onload事件,例如<IFRAME>、<BODY>和<FRAMESET>。 <frameset onload=alert(1)> 适用浏览器与版本 测 ...
分类:
Web程序 时间:
2020-01-21 20:17:54
阅读次数:
134
level15 看了一下源码,啥也没发现; AngularJS ng-include 指令: 包含的内容将作为指定元素的子节点。 ng-include 属性的值可以是一个表达式,返回一个文件名。 默认情况下,包含的文件需要包含在同一个域名下。 指向“https://ajax.googleapis.c ...
分类:
其他好文 时间:
2020-01-20 19:04:20
阅读次数:
384
