使用Burp、PhantomJS进行XSS检测 XSS(跨站脚本攻击)漏洞是Web应用程序中最常见的漏洞之一,它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里...
JS基本功系列-事件流
事件流 定义:描述从页面中接受事件的顺序,和冒泡、捕获相关微软IE 提出的事件冒泡流(Event Bubbling)网景(Netscape) 提出的事件捕获流(Event Capturing)事件流三...
JS基本功系列-DOM记录02
DOM结构树 结构树 function Document() {}Document.prototype = { ge...
JS基本功系列-DOM记录03
DOM节点操作 创建://创建var div = document.createElement('div');div.innerHTML = 123;...
JS基本功系列-DOM记录04
setAttribute<style> .running { color: green; ...
域-使用登录脚本进行攻击
概览介绍、net user、dsmod、Set-ADUser、批量设置。介绍像上节说的,比如我们获取到了域内的用户和机器信息,查看用户名时,发现jixi这个账号可能是我们的目标,但可能只知道用户名,这...
利用XSStrike Fuzzing XSS漏洞
前言关于XSStrike这款工具虽有前人写过相关资料,但是已经历经一年之久了,这款工具已经发生重大的改变(如从仅支持python2.7 改变为python 3.6),因此还是有必要再次写一下的。简介X...
一款功能全面的XSS扫描器
项目地址https://github.com/s0md3v/XSStrikeXSStrike高级 XSS 检测套件XSStrike Wiki • 用法• 常见问题解答• 对于开发人员• 兼容性• 图库...
聊聊大前端网络安全那些事
网络安全对前端童鞋来说大多数时候都是听其有之,闻之则无,毕竟在现如今前端如火如荼的时代,大多数东西日益成熟,开箱即用,云服务、框架等已经帮我们做了安全方面的防范,不需要我们去太过于关心前端网络安全,作...
基于JS语义分析的Dom-XSS自动化研究
想给w13scan加入这个功能,快要下班了,就写篇文章简单说下目前的研究进展。起先想法很简单,通过一个敏感函数触发点回溯分析到能够利用的参数,目前写下来,解决最大的就是一些编程问题,没什么特别的算法,...
从一个DOM XSS中学到的
本文适合懂点javascript,而又不是很懂XSS的前言前段日子挖到了的一个DOM XSS。这个XSS有点不一样的地方就是数据来自json,在DOM XSS中渲染的点不一样 意味着过滤方式不一样,错...
深入了解DOM XSS
大部分人对DOM XSS理解其实有问题的,很多人!网上随便一搜相关资料的讲解都是location.hash.substr(x)。其实这个和业务场景还是有点远,虽然也能表达这个意思,但是避免很无法解释很...
5