点击劫持又称为UI覆盖攻击。这类攻击利用了HTML中<iframe>等标签的透明属性来诱使用户在不知情的情况下,点击内嵌在原始网页中的透明网页。此刻,透明网页中的恶意代码自动运行,对用户的...
CSS injection 总结
现代浏览器都已不允许在CSS中执行JavaScript了,以前的CSS注入可以利用JavaScript协议在url()、expression()中执行Javascript代码从而实现XSS。但是目前C...
XSS JavaScript 跨站脚本攻击汇总
(1)普通的XSS JavaScript注入 (2)IMG标签XSS使用JavaScript命令 (3)IMG标签无分号无引号 (4)IMG标签大小写不敏感 (5)HTML编码(必须有分号) (6)修...
Browser Security-超文本标记语言(HTML)
重要的4个规则: 1 &符号不应该出现在HTML的大部分节点中。 2 尖括号是不应该出现在标签内的,除非为引号引用。 3 在text节点里面, 4 引号在标签内可能有危害,具体危害取决于存在的...
XML注入-工具科普篇
XML注入原理: XML(ExtensibleMarkup Language) 可扩展标记语言。 可扩展:标签都是自定义的。 功能:存储数据(1、配置文件 2、在网络中传...
从PbootCMS审计到某狗绕过
之前审计发现的PbootCMS2.0.3前台RCE,看了最近的版本更新漏洞被修复了,就放出之前的POC顺便看看能不能绕过补丁。项目地址: https://github.com/hnaoyun/Pboo...
Web安全:点击劫持
点击劫持又称为UI覆盖攻击。这类攻击利用了HTML中<iframe>等标签的透明属性来诱使用户在不知情的情况下,点击内嵌在原始网页中的透明网页。此刻,透明网页中的恶意代码自动运行,对用户的...
如何使用NFCGate对Android进行NFC安全研究
NFCGateNFCGate是一款针对Android端应用程序的安全审计工具,该工具旨在帮助广大研究人员捕捉、分析和修改Android平台下的NFC流量。本质上来说,NFCGate是一款安全研究工具,...
AI领域的预训练与自训练
最近一年,AI领域出现了很多迁移学习(transfer learning)和自学习(self-learning)方面的文章,比较有名的有MoCo,MoCo v2,SimCLR等。这些文章一出现,就受到...
s2 059 初步分析
影响范围Struts 2.0.0 - Struts 2.5.20描述Apache Struts 2 会对某些标签属性(id)的属性值进行二次表达式解析,并且在 Struts 标签属性内强制进行 OGN...
Office Tab Enterprise v14.00.0 绿色特别版
习惯了office办公,但是微软office不像wps那样可以进行多标签文档管理,打开一个新文档就会占据一定空间,怎么办?Office Tab,微软Office多标签页插件,轻松实现Office标签页...
对话Flanker | 十年饮冰,难凉热血
何淇丹,江湖名号Flanker,知名互联网企业安全总监,世界顶级黑客大赛Pwn2Own Mobile 和 PC 双料冠军,Google Android Security Top Researcher ...
10