document | CN-SEC 中文网

安全文章

再谈xss水坑攻击

0x00 前言其实这篇文章我早在过年那会就已经开始写了，一直拖到现在是因为没太多时间继续往下写。在之前我是发过一篇浅谈xss水坑攻击的文章，今天想给大家带来的是我写的一个xss水坑攻击的攻击模板以及其...

12小时前2 views评论

阅读全文

安全文章

XSS 从 PDF 中窃取数据

04月29日9 views评论

阅读全文

安全文章

【翻译】在 URL 凭证中隐藏有效载荷

去年， Johan Carlsson 发现可以将有效载荷隐藏在 URL 的凭证部分中。这对我来说非常有趣，尤其是因为有效载荷实际上在 Chrome 和 Firefox 的 URL 中是不可见的。这...

04月15日11 views评论

阅读全文

安全漏洞

万户OA DocumentEdit 注入漏洞 POC

简单介绍万户OA DocumentEdit.jsp文件存在SQL注入漏洞，攻击者通过发送特殊的请求包可以对数据库进行SQL注入，获取服务器敏感信息。复现环境 app="万户网络-ez...

04月09日16 views评论

阅读全文

安全工具

Macrome：一款针对侦查的Excel宏文档处理工具

关于MacromeMacrome是一款功能强大的Excel宏文档读取和编写工具，该工具专为侦查研究人员和安全分析人员设计。工具安装/构建首先，我们需要使用下列命令将该项目源码克隆至本地：git clo...

04月08日11 views评论

阅读全文

安全新闻

100 多家汽车经销商遭 ClickFix 网页攻击，导致 SectopRAT 恶意软件安装

关键词恶意软件一次复杂的供应链攻击已经危及全国 100 多家汽车经销店，无数访客面临恶意软件感染的风险。此次攻击利用了汽车经销商专门使用的共享视频服务，注入恶意代码，将毫无戒心的用户重定向到欺诈性网页...

03月18日8 views评论

阅读全文

供应链安全

超100家汽车经销商遭供应链攻击，SectopRAT远程访问木马悄然入侵

近期，一起复杂的供应链攻击事件影响了超过100家汽车经销商，导致大量访客暴露于恶意软件感染的风险下。此次攻击利用了一个专门为汽车行业提供服务的视频平台，通过注入恶意代码，将访问者重定向至伪造的网页，这...

03月17日14 views评论

阅读全文

安全新闻

揭秘35000个中文网站劫持事件背后的真相

文章首发地址：https://xz.aliyun.com/news/17156文章首发作者：T0daySeeker概述近期，笔者在日常浏览威胁情报的时候，发现了一篇报道，报道标题是《Over 35,0...

03月11日6 views评论

阅读全文

安全文章

探索挖掘xss中括号被转义的绕过措施(续)

0x00 前言临时更一篇，这篇文章本不在更新计划中，直到上周有师傅留言：其实我那篇文章中有简单提到过：但是我没细讲，给出的payload也只是弹窗和打印，没有什么太大危害：所以如果大家想要危害比较大的...

03月11日12 views评论

阅读全文

安全文章

JS逆向 | cookie加密处理

文章声明：本篇文章内容部分选取网络，如有侵权，请告知删除。文章末尾有开源Gethub网址，仅供参考！浏览器开发者工具功能介绍Convert curl commands to pyth...

03月03日24 views评论

阅读全文

安全博客

记一次XSS挖掘过程

最近在挖SRC，记录一下一些有趣的漏洞这个站整体安全性挺高，测了许久也不见有什么问题，就把精力放在了可能遗漏的接口上，遂在一个接口页面引入的js文件里面又找出一个接口地址（目录扫描没有发现），简单浏...

02月27日7 views评论

阅读全文

30个必知必会的JS渗透测试技巧

JavaScript作为现代Web应用的核心语言，既是开发利器，也是攻击者的重点突破方向。本文从渗透测试工程师视角，系统性梳理30个关键JS安全攻防点，涵盖漏洞挖掘、防御绕过、信息泄露等实战场景。全文...

02月20日安全文章38 views评论

阅读全文

再谈xss水坑攻击

XSS 从 PDF 中窃取数据

【翻译】在 URL 凭证中隐藏有效载荷

万户OA DocumentEdit 注入漏洞 POC

Macrome：一款针对侦查的Excel宏文档处理工具

100 多家汽车经销商遭 ClickFix 网页攻击，导致 SectopRAT 恶意软件安装

超100家汽车经销商遭供应链攻击，SectopRAT远程访问木马悄然入侵

揭秘35000个中文网站劫持事件背后的真相

探索挖掘xss中括号被转义的绕过措施(续)

JS逆向 | cookie加密处理

记一次XSS挖掘过程

30个必知必会的JS渗透测试技巧

在线咨询

微信