本文简要介绍了我们如何发现、利用和报告远程代码执行 (RCE) 漏洞。它旨在成为发现漏洞以及以负责任的方式报告漏洞的指南。第一步:发现在使用math.js API ( ) 的包装器http://api...
JavaScript精髓-02预编译
预编译注意本文主要会以视频的形式呈现,由于目前微信不支持直接发送付费视频,故这里以图文的形式出现,视频见最后,这里需要注意的是,已经购买知识星球的童鞋没有必要购买此付费合集,后面也会在知识星球呈现,由...
buuctf pasecactf_2019]flask_ssti-解题步骤详解
1.测试存在ssti2.获取类型所属的对象,后面显示被过滤了,看了大佬的文章_'.这三个被过滤了,但可以用十六进制绕过3.寻找基类4.寻找可用引用{undefined{()["x5fx5fclassx...
从一个DOM XSS中学到的
本文适合懂点javascript,而又不是很懂XSS的前言前段日子挖到了的一个DOM XSS。这个XSS有点不一样的地方就是数据来自json,在DOM XSS中渲染的点不一样 意味着过滤方式不一样,错...