昨天@YShahinzadeh发文分享了他们通过css数据泄漏导致账户接管的利益,突破了DOMPurify的保护,最终拿到$8000的故事。今天写了详细的文章,也是css注入的一次真实利用,一起学习一...
$8000赏金实录!CSS注入窃取OAuth令牌
字数 1686,阅读大约需 9 分钟CSS注入窃取 OAuth 令牌昨天@YShahinzadeh发文分享了他们通过css数据泄漏导致账户接管的利益,突破了DOMPurify的保护,最终拿到$8000...
通过符号链接致盲EDR复现
创建起因是看到了Ots安全公众号发布了一篇BYOVD 更上一层楼。使用 Windows 符号链接进行盲 EDR。大概看了一下内容,找了一下原文,是一个老外写的。https://www.zerosala...
'史上最精密'的钓鱼攻击
个人感觉国外社工和诈骗有得一拼啊!g.co(Google的官方短网址,更新:或是Google Workspace的域名验证,详见文末)已被攻击者突破。现在有人正在窃取他人的Google账号。刚刚我遇到...
CSS选择器优先级
前段时间搬家了 然后隔壁搬来了一个前端妹纸, 然而跟着妹纸学到了很多知识,比如:本文,嘿嘿嘿你懂得~ 问题有如下html代码: ALink 如果设置css样式: #b a{ color:red; } ...
【安全通告】微软补丁日安全通告|1月份
2024年1月10日(北京时间),微软发布了安全更新,共发布了53个CVE的补丁程序,同比上月增多了11个。在漏洞安全等级方面,存在2个标记等级为“Critical”的漏洞,51个漏洞被标记为“Imp...
CISSP考试指南笔记:7.12 实施灾难恢复
Recovering from a disaster begins way before the event occurs. It starts by anticipating threats and...
【原创】2020年西南石油大学「智仁杯」网络安全技术大赛(web1+misc1、2)
[huayang] 这次比赛一道题都没出,misc1就差一点点了哎 这次有借口杂项有密码学我完全不懂啊哈哈 web题简直难得不讲武德 没有签到题没有签到题没有签到题 web1 359度防护网站 [hu...
Parallels Desktop 18
Parallels Desktop 18Parallels Desktop Business Edition for mac (pd虚拟机) 是mac上最强大也是最好用的虚拟机软件,parallels...
CISSP考试指南笔记:8.2 软件开发生命周期
There have been several software development life cycle (SDLC) models developed over the years, the ...
CSS选择器优先级
CSS选择器优先级 2016-03-31 #css #css选择器 #css选择器优先级 前段时间搬家了 然后隔壁搬来了一个前端妹纸, 然而跟着妹纸学到了很多知识,比如:本文,嘿嘿嘿你懂得~ 问题有如...