声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
Proton Mail 存在XSS漏洞
Proton Mail 的开源代码中发现了跨站脚本漏洞。此问题允许攻击者窃取解密的电子邮件并冒充受害者,绕过端到端加密。攻击者必须发送两封电子邮件,受害者必须查看这两封电子邮件。在某些情况下,如果受害...
漏洞挖掘 | 一处图片引用功能导致的XSS
山重水复疑无路漏洞点:站点产品评论处初步测试一开始尝试XSS,发现程序有过滤,提交均显示Tags are not permitted,最后测出来的是过滤 < ,不过滤 >因为提示速度比较快...
初探XSS
XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下...
来看一个有趣的XSS(二)
题解题解payload先放文末了,铁子们可以先自行尝试一下这个挑战,下面粘出题目源码,另存为html即可页面源码<!DOCTYPE html><html lang="zh-Hant-...
冰蝎漏洞分析另附娱乐向XSS poc
免责声明: 本公众号致力于安全研究和红队攻防技术分享等内容,本文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失,均由使用者本人承...
XSS自动识别工具!放松双手~不用再测payload了
Electron JS 浏览器自动查找 XSS 漏洞这是一款使用nodejs来运行的xss自动扫描工具,只需要浏览网页,就会自动帮你识别其中的xss!运行效果:默认打开页面如果想自动检测xss,只需要...
记一次从xss到任意文件读取
0x00 前言 xss一直是一种非常常见且具有威胁性的攻击方式。然而,除了可能导致用户受到恶意脚本的攻击外,xss在特定条件下还会造成ssrf和文件读取。 本文主要讲述在一次漏洞挖掘过程中从xss到文...
【攻防演练】两款蜜罐特征告警、识别chrome插件
免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测。 工具1介绍:...
Medusa!一个多功能红队武器库平台
工具介绍Medusa是一个红队武器库平台,目前包括XSS平台、和谐平台、CVE监控、免杀生成、DNSLOG、钓鱼邮件、文件获取等功能,持续开发中。动图演示:后台回复:230817,获取工具声明:该公众...
对棋牌app漏洞挖掘以及一些工具(附送0DAY)
大家好,很久没更新有没有想我呢。 (大家想要的东西附在文章末尾,回复关键字下载获取下载地址) 没错,就是那个越权帮别人支付订单,xss打自己cookie的男人,他回来了。 前段时间写的帮粉丝渗透棋牌a...
iframe注入和非法重定向
iFrame注入是一种非常常见的跨站点脚本(或XSS)攻击。它由一个或多个iFrame标签组成,这些标签已插入页面或帖子的内容中,并且通常会下载可执行程序或执行其他危害网站访问者计算机的操作。在最佳情...
112