|0x0 团队介绍RedCodeSecurity Team安全团队 & 安全实验室 以及安服团队,是由安全头部企业(奇安信、绿盟、360、深信服、启明等)、互联网头部企业、安全从业人...
JS基本功系列-立即执行函数
前言 自动执行,执行完之后立即释放(就是说这个函数执行完之后自动销毁, 你再次调用的时候会报 ReferenceError的错误); IIFE: immediately-invoked functio...
利用JavaScript实现抽奖概率算法研究
网安引领时代,弥天点亮未来 0x00故事是这样的1.在B站闲逛无意间看见这种新闻,简单概括就是人家搭建了菠菜网站,并且后台可以调整中奖概率,一看就是割韭菜...
2个Chromium V8 JavaScript引擎RCE测试复现和WX RCE Cobaltstrikes上线
记录近期爆发的2个影响Chromium内核浏览器的RCE漏洞(issus-1196683、issus-1195777)的复现和测试情况。【2021年4月13日,安全研究人员Rajvardhan Aga...
解析漏洞—中间件
解析漏洞简介解析漏洞是指web服务器因对http请求处理不当导致将非可执行的脚本,文件等当做可执行的脚本,文件等执行。该漏洞一般配合服务器的文件上传功能使用,以获取服务器的权限。解析漏洞常见的解析漏洞...
JS基本功系列-原型里面2个知识点记录
Professor.prototype.tSkill = 'Java'; function Professor() {&nbs...
11个步骤完美排查服务器是否被入侵
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考:背景信息:以下情况是在CentO...
[GWCTF 2019]mypassword-解题步骤详解
#题目:三个界面,注册界面源代码毛都没有,登录界面源代码里面有东西if (document.cookie && document.cookie != '') { var cookies...
Webpack系列-CSS模块化和字体图标打包
CSS模块化 createAvatar部分代码import avatar from "./avatar.jpg";function createAvatar()...
【技术分享】Visual Studio Code本地代码执行漏洞(CVE-2019-1414)
背景微软在2015年推出的跨平台开源编辑器Visual Studio Code(VS Code),凭借其开箱即用的便捷以及丰富的插件社区,迅速吸引了大批用户。在最新的PYPL IDE排行榜中,VS C...
Nginx反向代理小记-附域名劫持案例
反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时...
JS逆向 -- AES加密
一、通过抓包分析要找的参数password二、搜索“password:”关键字,找到encode.js关键点三、进去查看JS代码,通过iv,key,aes等关键字发现这是aes加密import Cry...
17