攻。这时候攻击者变成了防守方。防守方通过 JavaScript来描绘攻击者网络环境。毕竟他需要开一些端口,比如cs,msf,burpsuite吧。或者是虚拟机之类的,哪怕不用,访问到了蜜罐你就不是什么...
HTML 编辑器 CKEditor 的使用方法 - ckEditor 使用方法
灵活的调用方式——JS代码调用: <p>Ckeditor的初始化内容,作为textarea的value值. You are using <a href="http://www.kxs...
DedeCMS 5.7圈子XSS跨站可拿WebShell
作者:sfcuboy 创建圈子和编辑圈子时未对圈子的描述内容进行过滤。可以插入外部JS文件引用。管理员在查看后台圈子列表时中招。运行外部JS文件从而修改站点配置。允许上传php,asp文件等。 外部J...
冰山信息发布系统后台登陆漏洞
By:z2681 闲话蛋说 默认后台为 admin 可直接利用 a' or 1=1# php万能密码进后台 后台有上传 直接上传 1.asp;jpg 点击查看原文件可知路径 大牛误喷!口下积德...
科迅官方XSS漏洞
用户后台发信箱标题直接插入JS脚本 收信者即会中招,偶对管理员进行了测试! 不过2分钟就收到信了! 科迅CMS会将用户、密码、认证码存入COOKIE。。。 然后你懂得!!! 漏洞已反馈,发帖之时还未修...
js 实现键盘记录,兼容 FireFox 和 IE
另外一篇文章,Xss高级技巧劫持键盘:http://www.xssxss.com/fuck/285.xss From:http://hi.baidu.com/%D3%F0%E9%E4%C8%CA/bl...
简单分析一个通过 js 劫持进行黑帽 SEO 做淘宝客的案例
某年、某月、某日,某事、某刻、某分、某秒,某人、某站、某代码的分析…… 起因如下,在某时某刻,某人发过来一站及一段代码,然后求分析…… 目标地址:http://upangu.com/ 目标代码: 某人...
一邮箱跨站 讨论
"extmail 领立斯" 传送门 http://www.wooyun.org/bugs/wooyun-2012-04854 最近在测试这个东东 1. 附件名称处 a:空格过滤 执行不鸟 ...
xss.js 使用手册 [更新 通用表单劫持]
xss.js 是一个用于xss攻击时的基础js库,方便简化与通用化攻击代码. 更新地址 http://mmme.me/xss.js 使用xsser.me可以直接在项目中包含xss.js: 一.判断浏览...
逆向追踪之:网站被挂淘客跳转以后发生的事情
网站被挂淘客跳转以后发生的事情 围剿 | 2013-08-17 10:42 做seo的伤不起啊,好不容易做上去的,然后有“黑客”开始用dede批量挂菠菜、淘客。不知道他们做的意义是什么,很明显就是驴唇...
【转载】不用AJAX照样能隐秘提交恶意表单
今日跨站时,懒得写AJAX代码,想到了利用FORM target属性 + iframe来模拟恶意表单提交动作。 XSS代码: //恶意注入的XSS...
【Html】十种经典的网页木马(网马)挂马方式
十种经典的网页木马(网马)的挂马方式: 虽然很老很不给力,很多已不实用,但是稍微改下还是可以的,还是发出来了,给新手和菜鸟学习下吧。 一、框架挂马: 二、js文件挂马: 首先...
35