前言 最近一直在看国外的赏金平台,绕waf是真的难受, 记录一下绕过的场景。 初步测试 一开始尝试XSS,发现用户的输入在title中展示,那么一般来说就是看能否闭合,我们从下面图中可以看到,输入尖括...
某美图网站(无限debugger)(二)
前言 上一期的网站啊,群友不明白最后一步是啥意思。 是我的疏忽,忘了自己刚开始逆向的时候也是这样的,所以又写了一篇文章,再续前缘 本篇文章仅群友供交流学习,侵权删(满满的求...
JS基本功系列-立即执行函数
前言 自动执行,执行完之后立即释放(就是说这个函数执行完之后自动销毁, 你再次调用的时候会报 ReferenceError的错误); IIFE: immediately-invoked functio...
Less-3
源码:未过滤,但变量id加了引号和括号。将变量id以字符串形式引入,和Less-1很像,但是却又多了个括号,猜测是防止注入语句。注入测试: ?id=12+and+1=1 显示正确 ?id=12+an ...