文章首发地址:https://xz.aliyun.com/news/17156文章首发作者:T0daySeeker概述近期,笔者在日常浏览威胁情报的时候,发现了一篇报道,报道标题是《Over 35,0...
探索挖掘xss中括号被转义的绕过措施(续)
0x00 前言临时更一篇,这篇文章本不在更新计划中,直到上周有师傅留言:其实我那篇文章中有简单提到过:但是我没细讲,给出的payload也只是弹窗和打印,没有什么太大危害:所以如果大家想要危害比较大的...
JS逆向 | cookie加密处理
文章声明:本篇文章内容部分选取网络,如有侵权,请告知删除。 文章末尾有开源Gethub网址,仅供参考! 浏览器开发者工具功能介绍Convert curl commands to pyth...
记一次XSS挖掘过程
最近在挖SRC,记录一下一些有趣的漏洞 这个站整体安全性挺高,测了许久也不见有什么问题,就把精力放在了可能遗漏的接口上,遂在一个接口页面引入的js文件里面又找出一个接口地址(目录扫描没有发现),简单浏...
30个必知必会的JS渗透测试技巧
JavaScript作为现代Web应用的核心语言,既是开发利器,也是攻击者的重点突破方向。本文从渗透测试工程师视角,系统性梳理30个关键JS安全攻防点,涵盖漏洞挖掘、防御绕过、信息泄露等实战场景。全文...
朋友的XSS我来挖,定叫他满载而归
朋友的洞我来挖,定叫他满载而归^ ^。开始渗透让我看看怎么个事奥,打开神秘小链接:看上去是个上传点,能预传一个参数。基础测试先看看参数被传到哪了,随便传个payload:可以看见一共有两处找到:再看看...
飞书文档快速转化本地makedown文件
feishu2md使用指南获取 API Token配置文件需要填写 APP ID 和 APP SECRET 信息,请参考 飞书官方文档 获取。推荐设置为进入飞书开发者后台创建企业自建应用(个人版),信...
Apache HTTPD 常见配置指南
Apache HTTPD 是一个广泛使用的Web服务器软件,能够通过一系列配置选项来满足不同的部署需求。以下是关于Apache HTTPD常见配置的整合指南,涵盖了从基本路径到高级设置,如修改默认端口...
浏览器漏洞利用实战
点击下方名片,关注公众号,一起探索网络安全技术 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任...
网安快速入门之JS基础
网安快速入门之JS基础JS定义JavaScript(简称“JS”)是一种具有函数优先的轻量级,解释型或即时编译型的编程语言。它以其作为开发Web页面的脚本语言而闻名,但也被广泛应用于非浏览器环境中。J...
Imperva WAF Bypass XSS
<svg><set onbegin=d=document,b='`',d['loca'+'tion']='javascript:aler'+'t'+b+domai...
CVE-2022-30190(Microsoft Office Word MSDTJS 远程代码执行)
CVE-2022-30190to metasploit exp### This module requires Metasploit: https://metasploit.com/download#...
16