Browser Security-css、javascript lcx

Browser Security-css、javascript

层叠样式表(css) 调用方式有三种: 1 用 浏览器进行解析的时候会先HTML解析再做CSS解析,所以下面的代码会出错: Gotcha!'); } 字符编码: 为了保证在css中可以使用可能产生问题...
阅读全文
解析漏洞总结 lcx

解析漏洞总结

一、IIS 5.x/6.0解析漏洞 IIS 6.0解析利用方法有两种 1.目录解析 /xx.asp/xx.jpg 2.文件解析 wooyun.asp;.jpg 第一种,在网站下建立文件夹的名字为 .a...
阅读全文
XSS中的JS转义和HTML转义 gv7.me

XSS中的JS转义和HTML转义

今天在给客户做渗透测试时,遇到了一处XSS。虽然很简单,但有点小意思。引发了我对js转义和html转义在XSS中的思考,故做个小笔记记录一下。两个例子都会以仿写现实场景的代码的说明问题。 0x01 一...
阅读全文
CVE-2017-8464漏洞复现 安全文章

CVE-2017-8464漏洞复现

【原理】Windows系统使用二进制解析 .LNK文件,当恶意二进制代码被系统识别执行时即可实现远程代码执行,由于是在explorer.exe进程中运行,所以 load 进内存时与当前用户具有相同权限...
阅读全文
那些可以绕过WAF的各种特性 安全文章

那些可以绕过WAF的各种特性

来自公众号:Bypass我们一般将安全防护软件划分为:云WAF、硬件waf、主机防护软件、软件waf等。在攻防实战中,往往需要掌握一些特性,比如服务器、数据库、应用层、WAF层等,以便我们更灵活地去构...
阅读全文