今天在给客户做渗透测试时,遇到了一处XSS。虽然很简单,但有点小意思。引发了我对js转义和html转义在XSS中的思考,故做个小笔记记录一下。两个例子都会以仿写现实场景的代码的说明问题。 0x01 一...
04月02日gv7.me52 views评论html
解析
XSS中的JS转义和HTML转义
04月02日gv7.me52 views评论html
解析
04月02日gv7.me52 views评论html
解析
CVE-2021-3156-sudo缓冲区溢出复现
1. 漏洞简介1月26日,Sudo发布安全通告,修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过 -s 或 -i 命令行选项在shell模式下运行命令时,...
03月05日169 views评论sudo
缓冲区
【漏洞预警】sudo堆溢出漏洞通告(CVE-2021-3156)含部分POC
一、漏洞描述1月26日,Sudo发布安全通告,修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令...
01月28日224 views评论sudo
漏洞
thymeleaf单引号转义符
XSS蠕虫–创造性地使用Web应用程序漏洞
01整个想法是使用可以通过电子邮件发送的XSS,将其转变为可自我复制并传播到众多用户邮箱的蠕虫。XSS可以在他的PoC版本中实现,这是因为当电子邮件的收件人回复并通过电子邮件转发时,XSS会被激活。对...
12月22日156 views评论xss
使用
Yii防注入攻击笔记 - imxiu
网站表单有注入漏洞 须对所有用户输入的内容进行个过滤和检查,可以使用正则表达式或者直接输入字符判断,大部分是只允许输入字母和数字的,其它字符度不允许;对于内容复杂表单的内容,应该对...
11月21日moonsec_com328 views评论注入
过滤
2