安全文章

利用websocket进行水坑攻击

前言在我们获取到目标后台或者一些其他内部员工使用的系统时,为了进一步扩大权限难免会用到水坑这一手段。在使用水坑时避免不了的两个问题:下载后不打开频繁的被分析下载后不打开对于重复上线现在已经有了一些解决...
阅读全文

XSS跨站原理

XSS跨站原理 # 当应用程序发送给浏览器的页面中包含用户提交的数据,但没有经过适当验证或转义时,就会导致跨站脚本漏洞。这个“跨”实际上属于浏览器的特性,而不是缺陷; 浏览器同源策略:只有发布Cook...
阅读全文
安全文章

DOM Clobbering Attack

前言介绍一种很有趣的攻击手法:DOM Clobbering Attack Dom Clobbering Attack概述大概简述下这个技术的主要攻击手法: 通过标签中定义的name和id属性进行全局变...
阅读全文
安全文章

intigriti Easter XSS challenge

文章首发于先知 前言国外的一个xss challenge(规定时间内做出可得一年的Burp Suite正版证书) JY7U10.png 题目分析主要的功能逻辑代码为script.js, 如下: 123...
阅读全文