1、漏洞理解 点击劫持(Click Jacking)是一种视觉上的欺骗手段,攻击者通过使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,通过调整iframe页面的位置,可以使得伪造的页面恰好和iframe里受害页面里一些功能重合(按钮),以达到窃取用户信息或者劫持用户操作 ...
分类:
其他好文 时间:
2020-05-22 00:18:02
阅读次数:
275
nginx配置X-Frame-Options允许多个域名iframe嵌套
分类:
其他好文 时间:
2020-05-20 15:56:56
阅读次数:
555
常规劫持都是在快捷图标命令中添加扩展命令(如下图), 删除后面的扩展命令。 或直接在注册表(win+r输入regedit回车)中搜索被劫持的域名删除即可。 但还有一种更隐蔽的,也是最近发现很厌烦的一种。 chrome://version/ edge://version/ 在地址栏中输入以上语句并回车 ...
分类:
其他好文 时间:
2020-05-19 13:01:15
阅读次数:
314
关于环境变量$ LD_PRELOAD $LD_PRELOAD是一个环境变量,用于加载动态库,他的优先级是最高的 一个挑战就是,这玩意可以产生一个shell,就像下面这样: 劫持库函数 假设存在一段这样的代码,其编译过程 好的我们来覆写一下这个函数 构造Payload 参考文献 "Hijacking ...
分类:
系统相关 时间:
2020-05-18 16:01:44
阅读次数:
115
Django的X Frame Options设置 事件起因 事件的起因是这样的,我在使用Django服务的时候,想在一个已经存在某个按钮的主页面上,单击这个按钮弹出某个功能页面,设置某些内容,然后再退回到主页面。 我使用了某个插件,在弹出的页面上显示我请求的链接被服务器拒绝。 在使用浏览器调试的co ...
分类:
Web程序 时间:
2020-05-15 20:09:11
阅读次数:
220
vue单页因微信分享和自动登录需要,对于URL中存在’#’的地址,处理起来比较坑。用history模式就不会存在这样的问题。但是换成history模式,就会有个新的问题,就是页面刷新后,页面就无法显示了(404)。对于这个问题,我们只需要在服务器配置如果URL匹配不到任何静态资源,就跳转到默认的in ...
分类:
其他好文 时间:
2020-05-14 15:48:51
阅读次数:
78
大家都知道vue是mvvm模式,即model、view、viewmodel组成,viewmodel是搭建view、model的桥梁,监听数据的变化,通知对应的视图做更新。但具体是什么情况还是不太明白,明天要面试了,昨天看了一遍文章,里面有张图让我彻底明白了,一起看一下吧。 简单来说,就是数据劫持+订 ...
分类:
其他好文 时间:
2020-05-13 16:40:03
阅读次数:
67
自动化生成poc burpsuite CSRF使用方法 POST Burpsuite生成poc js代码提交 JSON劫持攻击 CSRF蠕虫 flash CSRF csrf+xss组合拳 CSRF绕过referer 1.Refere为空条件下 利用ftp://,http://,https://,fi ...
分类:
其他好文 时间:
2020-05-03 16:57:24
阅读次数:
78
感谢朋友的内推,去中兴公司面试了一趟,稍微做一下总结。 1、vue的渲染机制 答:这个问题是面试经常会提到的可能不是vue可能是其他(react).之前版本的angular是用的脏值检测的方式,现在都趋同于数据劫持的模式&发布订阅者模式在es5中有一个函数就是我们的 Object.definePro ...
分类:
其他好文 时间:
2020-05-01 22:22:27
阅读次数:
199
vue数据双向绑定是通过数据劫持结合发布者-订阅者模式的方式来实现的: 1.实现一个监听器Observer,用来劫持并监听所有属性,如果有变动的,就通知订阅者; 2.实现一个订阅者Watcher,每一个Watcher都绑定一个更新函数,watcher可以收到属性的变化通知并执行相应的函数,从而更新视 ...
分类:
其他好文 时间:
2020-04-29 13:07:22
阅读次数:
85
