本月雅虎邮箱爆出了一个XSS漏洞,该漏洞允许代码嵌入特殊格式的电子邮件。在用户预览邮件时,不知不觉就会自动触发XSS。影响WEB邮箱的XSS漏洞 研究人员向雅虎提交了...
04月09日217 views评论web
xss
雅虎邮箱XSS漏洞细节分析
04月09日217 views评论web
xss
04月09日217 views评论web
xss
nginx目录结构和配置文件详解
nginx目录结构和配置文件详解0x00 Nginx 目录结构Nginx 文件结构比较简洁,主要包括配置文件和二进制可执行程序,通过安装包形式安装的 nginx 文件结构跟各 Linux 发行版目录规...
04月09日32 views评论http
server
nginx+php-fpm+虚拟主机及负载均衡的搭建
nginx + php-fpm + 虚拟主机及负载均衡的搭建By:0x584A Date:2015年11月22日 22:48:361 前言今天运气不太好,在做测试的时候CentOS镜像挂了,随后VM1...
04月09日79 views评论mysql
php
CVE-2020-3452 POC 远程任意文件读取
攻击者通过DNS TXT记录控制的新垃圾邮件活动
我们发现了一个带有HTML附件的新金融垃圾邮件广告系列,它利用Google的公共DNS解析程序来检索嵌入在域的TXT记录中的JavaScript命令。然后,这些命令将用户的浏览器重定向到激进的交易广告...
04月06日69 views评论javascript
攻击者
第十八周/20220404 红队推送
【特别推荐】FORCEDENTRY: Sandbox Escapehttps://googleprojectzero.blogspot.com/2022/03/forcedentry-sandbox-...
04月05日54 views评论https
rce
CVE-2021-40444 漏洞深入分析
作者:sunglin@知道创宇404实验室前言随着cve-2021-40444的披露,随机引爆了全球的网络安全,虽然最近微软发布了补丁,但是cve-2021-40444的利用却越发猖狂,本人深入分析了...
04月03日33 views评论cve
http
网络钓鱼工具包市场分析
什么是网络钓鱼工具包?诈骗者在网络钓鱼攻击中使用的最常见技巧之一就是创建一个知名品牌的虚假官方页面。诈骗者倾向于从真实网站复制设计元素,这就是为什么用户很难区分虚假页面和官方页面的原因。甚至网络钓鱼页...
04月02日63 views评论网络
网络钓鱼
奇思妙想之用JS给图片加口令
本文展示一种用JS给图片加口令的方法,可以将任意图片转化为html,输入正确的口令才能打开查看图片。效果如下:效果说明1.它最终只有一个文件。并非一张图片和一个html,不是在html中引用图片,而是...
04月02日63 views评论base64
html
过滤XSS的HTMLPurifier使用
什么是HTMLPurifier?在php里解决XSS最简单的方法是使用htmlspecialchars转义xml实体,但对于需要使用xml的时候就搏手无策了。HTML Purifier是基于php 5...
04月01日121 views评论php
xss
攻击者可以使用HTML和CSS隐藏外部发件人电子邮件警告
更多全球网络安全资讯尽在邑安全研究人员近日证实,Microsoft Outlook等客户端向电子邮件收件人显示的“外部发件人”警告可能被发件人隐藏。事实证明,攻击者只需更改几行HTML和CSS代码,即...
04月01日86 views评论攻击者
电子邮件
WordPress插件中的XSS漏洞的复现分析与利用
前言WordPress起初是一款个人博客系统,后来逐步地演化成为一款内容管理系统软件。它使用PHP语言和MySQL数据库开发而成,用户可以在支持相应版本的PHP 和 MySQL数据库的服务器上方便快捷...
04月01日156 views评论html
xss
31