XSS全称Cross Site Scripting 跨站脚本攻击 XSS (Cross Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。 ...
分类:
其他好文 时间:
2019-11-15 14:25:21
阅读次数:
55
<!--读取excel文件,配置POI框架的依赖--> <dependency> <groupId>org.apache.poi</groupId> <artifactId>poi</artifactId> <version>3.17</version> </dependency> <depende ...
分类:
编程语言 时间:
2019-11-14 15:09:00
阅读次数:
69
什么是HttpOnly? 微软公司的Internet Explorer 6 SP1引入了一项新的特性。这个特性是为Cookie提供了一个新属性,用以阻止客户端脚本访问Cookie。 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击 ...
分类:
Web程序 时间:
2019-11-14 11:26:46
阅读次数:
126
第四章:为了更多的权限!留言板!!【配套课时:cookie伪造目标权限 实战演练】 说明:从给的tips中可以知道留言板功能存在XSS存储型漏洞,那么首先要建造包含xss攻击语句,可以不用自建xss平台,用网上的xss平台就行:http://xsspt.com/index.php?do=login ...
分类:
其他好文 时间:
2019-11-12 17:26:35
阅读次数:
399
大家好,我是@dhakal_ananda,来自尼泊尔,这是我在Hackerone上参加的雷蛇漏洞悬赏项目的一部分。一开始这个漏洞悬赏项目是一个非公开项目,我接到邀请后并没有参加;后来它变成了公开项目,我反而对它起了兴趣。 在挖掘漏洞时,我更喜欢绕过各种安全功能(例如二次验证),而不是挖掘普通的XSS ...
分类:
其他好文 时间:
2019-11-09 00:45:15
阅读次数:
234
细谈XSS骚操作 PayLoad 首先一个xss payload基本有以下几部分组成 [TAG]填充标签img svg video button... [ATTR]=Something 填充一些非必要的属性 src=1 xmlns="www.cnblogs.com/m0rta1s" [EVENT]填 ...
分类:
其他好文 时间:
2019-11-08 19:04:25
阅读次数:
112
前段时间我遇到一个问题,就是说普通的平台获取cookie的语句为↓ Default 1 <script src=js地址></script> 实际上我们的测试语句可能为↓ Default 1 <script>alert("90sec")</script> 也就是说js语句实际上是位于↓<script ...
分类:
Web程序 时间:
2019-11-08 15:11:58
阅读次数:
127
SRC目标搜集 首先得知道SRC厂商的关键字,利用脚本搜集一波。 比如【应急响应中心】就可以作为一个关键字。通过搜索引擎搜索一波,去重,入库。 SRC基础信息收集 微信公众号、xxsrc微信群。主要关注双倍积分活动、奖励大小、技术交流群里的信息。 通过公开信息掌握基础漏洞 在公开了漏洞标题的平台找最 ...
分类:
其他好文 时间:
2019-11-07 23:48:45
阅读次数:
174
文章来源i春秋 白帽子挖洞的道路还漫长的很,老司机岂非一日一年能炼成的。 本文多处引用了 YSRC 的 公(qi)开(yin)漏(ji)洞(qiao)。挖SRC思路一定要广!!!!漏洞不会仅限于SQL注入、命令执行、文件上传、XSS,更多的可能是逻辑漏洞、信息泄露、弱口令、CSRF。本文着重分析逻辑 ...
分类:
其他好文 时间:
2019-11-06 22:37:50
阅读次数:
329
https://blog.csdn.net/oDaiLiDong/article/details/83991364 写个写了xmx之外的内存很高 https://www.cnblogs.com/ceshi2016/p/8447989.html 这个写了xss ...
分类:
编程语言 时间:
2019-11-05 21:57:52
阅读次数:
64
