前言最近看了一些xss利用方式,发现本人在以前对编码绕过这一个点的原理好像没有太本质性的理解,所以就有了这篇文章,对浏览器进行解析的顺序有一个记录,也从中收获到点东西。浏览器涉及到解析机制谈到这个是因...
安全文章
安全文章
安全新闻
Brave浏览器的隐私漏洞会泄漏用户访问的onion地址
点击上方蓝字关注我们Brave浏览器中实现Tor的Private窗口中存在漏洞,该漏洞会将用户访问的onion站点泄漏到其本地配置的DNS服务器,从而暴露用户访问过的暗网地址。Brave是基于Chro...
安全漏洞
【安全风险通告】谷歌 V8 JavaScript引擎堆溢出漏洞安全风险通告
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信 CERT 监测到谷歌官方发布关于 Chrome 浏览器漏洞补丁,漏洞编号 CVE-2021-21148 ,...
安全漏洞
Microsoft IE远程命令执行在野 0day 漏洞通告
通告概要2021年2月4日,韩国安全公司ENKI发布了据称是Lazarus组织针对安全研究人员的攻击活动后续补充分析,提到通过发送MHTML文件诱导目标人员点击并触发后续的Interne Explor...
安全新闻
南非政府自研浏览器续命Flash
写在前面的话对于某些人来说,管理自己的浏览器显然要比将一些Web表单从Flash形式移植为HTML要更加的简单!是的,你没听错!为了重新支持Flash插件,南非政府竟然开发并发布了一款他们自己的浏览器...
安全文章
逻辑漏洞 | 支付漏洞学习
快捷支付原理商户网站接入支付结果有两种方式,一种是通过浏览器进行跳转通知,一种是服务器端异步通知浏览器跳转基于用户访问的浏览器,如果用户在银行页面支付成功后,直接关闭了页面,并未等待银行跳转到支付结果...
安全新闻
屡教不改:微信窃取Cookies又被火绒捕捉到了
21日微信 8.0 版本正式推出,大家都在微信里扔炸弹的时候,微信PC版也爆炸了。昨天 v2ex 上的一个网友爆出,其在火绒中添加了之前拦截QQ/TIM扫描浏览器的拦截规则后,在使用浏览器上传图片的时...
安全文章
深入探究浏览器编码及XSS Bypass
通过浏览器编码深入探究XSS绕过0x00背景 本篇文章得自于kaiputenku大佬在内部分享中用生命表演的结晶,三个小时,滴水...
安全文章
2020看雪SDC议题回顾 | 逃逸IE浏览器沙箱:在野0Day漏洞利用复现
今年5月,在一起针对韩国某公司的APT攻击中,研究人员发现该黑客集团使用了两个0day漏洞:Internet Explorer的远程代码执行漏洞和Windows的特权提升漏洞。通过利用这两个漏洞,黑客...
安全新闻
红色警戒!Windows微信蓝屏文件刨析
样本:核心代码为:file:///globalroot/device/condrv/kernelconnect受灾画面:分析.url文件url格式的文件是一种网页文件,只要接触就会触发访问漏洞分析可见...
安全博客
利用ChromePass读谷歌浏览器已保存密码
ChromePass本地密码谷歌浏览器 ChromePass是一款适用于Windows的小型密码恢复工具,可让您查看Google Chrome网络浏览器存储的用户名和密码。对于每个...
安全新闻
腾讯致歉 QQ 读取浏览器数据;中国 GDP 首超 100 万亿;瑞幸重新开放加盟,35 万起|极客早知道
火绒回应 QQ 读取浏览器数据:确实存在,腾讯已更新版本修复1 月 18 日下午,火绒安全实验室公布了此事的查看结果。按照火绒的说法,腾讯 QQ / Tim 的确存在获取用户浏览器(Chrome、IE...
