document - 第 3 | CN-SEC 中文网

安全文章

【XSS Challenges】攻防实战全记录

要么拼命，要么滚回去Stage#1直接在search 输入框中输入payload：<script>alert(document.domain)</script>点击search...

12月27日11 views评论

阅读全文

CSP & Bypass

目录什么是CSP？支持CSP的浏览器CSP的来源CSP的属性child-srcconnect-srcdefault-srcfont-srcimg-srcmanifest-srcmedia-srcob...

12月24日安全博客9 views评论

阅读全文

Head First Javascript笔记

目录 JavaScriptBeginFunctionArrayObjectDOMothers JavaScriptHello World.Go to a new world again. BeginT...

12月24日安全博客1 views评论

阅读全文

应急响应

应急响应记录之水坑挂马事件分析

文章前言在攻防演练中红队时而会在获取到目标系统的webshell权限之后会通过篡改前端网页的JS或HTML文件内容并插入恶意代码来挂载水坑扩大战果，具体的效果主要是使其在用户首次访问网站时就出现弹窗诱...

12月22日18 views评论

阅读全文

安全文章

【bWAPP】 HTML Injection (HTML注入)

我们都是在一条铺满荆棘的新路上摸索着前行，碰个鼻青眼肿几乎不可避免，而问题在于，我们能不能在这条路上跌倒之后，爬起来继续走下去。HTML Injection - Reflected (GET)get方...

12月16日4 views评论

阅读全文

实用XSS过滤绕过

过滤测试尝试插入比较正常的HTML标签，查看标签被过滤情况尝试插入不闭合的标签，查看标签情况然后测试几个XSS的payload，写入常见的几个语句，查看过滤的情况<script>,aler...

12月10日安全文章3 views评论

阅读全文

安全文章

JS逆向系列12-深入Js Hook

0x00 前言本文将深入讲解Js Hook。注：本文不会涉及到反hook与反反hook。0x01 Hook方法在之前发的那篇Js Hook文章中，我是用console.log写了一个demo以便读者理...

12月02日33 views评论

阅读全文

典型的XSS（跨站脚本）攻击注入字符串

典型的XSS（跨站脚本）攻击注入字符串通常包含以下特征： 1、闭合现有标签：攻击者可能会尝试通过插入引号和大于符号（">）来闭合现有的HTML标签，以便开始他们自己的脚本或HTML代码。 2、插...

11月28日安全文章12 views评论

阅读全文

安全文章

JSONP原理和劫持原理与挖掘方法

免责声明道一安全（本公众号）的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵...

11月27日18 views评论

阅读全文

安全文章

Amazon WAF Bypass

<details x=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx:2 open ontoggle="prompt(document.cookie);">...

11月22日9 views评论

阅读全文

安全文章

利用websocket进行水坑攻击

前言在我们获取到目标后台或者一些其他内部员工使用的系统时，为了进一步扩大权限难免会用到水坑这一手段。在使用水坑时避免不了的两个问题：下载后不打开频繁的被分析下载后不打开对于重复上线现在已经有了一些解决...

11月06日21 views评论

阅读全文

WordPress中的XSS通过开放的嵌入自动发现

0x00 前言用户通常认为已知软件没有安全漏洞，因为它已经过足够数量的工具和安全测试人员的检查。但是，这不是渗透测试人员或错误猎人可以负担得起的假设。漏洞可能潜伏在各个地方，找到一个有趣的错误通常需要...

10月18日安全文章6 views评论

阅读全文

【XSS Challenges】攻防实战全记录

CSP & Bypass

Head First Javascript笔记

应急响应记录之水坑挂马事件分析

【bWAPP】 HTML Injection (HTML注入)

实用XSS过滤绕过

JS逆向系列12-深入Js Hook

典型的XSS（跨站脚本）攻击注入字符串

JSONP原理和劫持原理与挖掘方法

Amazon WAF Bypass

利用websocket进行水坑攻击

WordPress中的XSS通过开放的嵌入自动发现

在线咨询

微信