javascr - 第 5 | CN-SEC 中文网

安全文章

红队攻防之JS攻防

“前言：随着当前攻防水平的不断提高，实战攻防过程中，经常能遇到前端的参数被各种各样的方式加密的情况。毫无疑问，这种方式能够防止很多脚本小子的脚步，但是很多网站就存在“金玉...

10月18日14 views评论

阅读全文

安全新闻

SideWinder（响尾蛇）APT 发起多阶段隐秘攻击，袭击中东和非洲

导读与印度有联系的SideWinder APT组织，对中东和非洲的知名实体和战略基础设施发动了一系列攻击。SideWinder 组织又名 APT-C-17、Baby Elephant、Hardcor...

10月18日61 views评论

阅读全文

安全文章

渗透测试人员之 JavaScript 分析（二)

混淆与反混淆在我们讨论混淆技术之前，让我们从缩小和美化的概念开始。缩小化缩小是减小JavaScript文件大小，同时保持其功能的过程。这是通过删除不必要的字符（例如空格或换行符）来实现的。有时缩小还包...

10月10日14 views评论

阅读全文

安全文章

渗透测试人员之 JavaScript 分析（一)

如果您正在测试 Web 应用程序，您肯定会遇到很多 JavaScript。如今几乎每个网络应用程序都在使用它。Angular、React 和 Vue.js 等框架将 Web 应用程序的许多功能和业务逻...

10月10日38 views评论

阅读全文

安全新闻

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

今年6月，Elastic安全研究人员揭露了一种新的野外代码执行技术，该技术利用了精心设计的MSC文件，称为GrimResource。GrimResource技术的关键是利用apds.dll库中存在的 ...

10月05日179 views评论

阅读全文

代码审计

【SRC实战】404->js审计->SSRF

前言在某次金融类众测项目中，笔者发现了一个几乎无从下手的系统，直接访问系统无任何功能，几乎相当于404 Not Found，甚至连JavaScript文件一个都不存在，最终通过渗透经验和一定的运气，拿...

10月03日61 views评论

阅读全文

安全文章

水洞小姿势系列 - PDF TO XSS 构造实战

本文首发于 Web 安全社区：https://web.sqlsec.com/thread/226 （安服仔水洞小姿势 PDF TO XSS 构造实战）转载请注明出处前言背景到了甲方可以天天看到各种各样...

09月29日135 views评论

阅读全文

安全文章

self-XSS漏洞SRC挖掘

本文由掌控安全学院 - 一朵花花酱投稿 Markdown是一种轻量级标记语言，创始人为约翰·格鲁伯（John Gruber）。它允许人们使用易读易写的纯文本格式编写文档，然后转换成有效的 XHTML...

09月28日16 views评论

阅读全文

安全新闻

警惕！一种用于网络钓鱼攻击的生成式人工智能恶意软件...

近日，HP 研究人员检测到一个由生成式人工智能服务生成并用于传递 AsyncRAT 恶意软件的 dropper。在调查恶意电子邮件时，HP 研究人员发现了一种由生成式人工智能服务生成并用于传递 Asy...

09月27日27 views评论

阅读全文

安全文章

404->js审计->SSRF

前言在某次金融类众测项目中，笔者发现了一个几乎无从下手的系统，直接访问系统无任何功能，几乎相当于404 Not Found，甚至连JavaScript文件一个都不存在，最终通过渗透经验和一定的运气，...

09月27日22 views评论

阅读全文

安全工具

LavaDome：一款基于ShadowDOM的DOM树安全隔离与封装工具

关于LavaDome LavaDome是一款针对HTML代码安全和Web安全的强大工具，该工具基于ShadowDOM实现其功能，可以帮助广大研究人员实现安全的DOM节点/树隔离和封装。在当今的Web...

09月26日30 views评论

阅读全文

安全文章

通过组合Self-XSS + CSRF得到存储型XSS

在一次漏洞赏金挖掘中，我在更改用户名的功能点出发现了一个XSS，在修改用户名的地方添加了一个简单的XSS payload并且刷新页面：用户设置面板XSS证明但是问题是这个功能配置并不是公...

09月26日34 views评论

阅读全文

红队攻防之JS攻防

SideWinder（响尾蛇）APT 发起多阶段隐秘攻击，袭击中东和非洲

渗透测试人员之 JavaScript 分析（二)

渗透测试人员之 JavaScript 分析（一)

APT | 海莲花组织利用GrimResource技术进行钓鱼攻击活动分析

【SRC实战】404->js审计->SSRF

水洞小姿势系列 - PDF TO XSS 构造实战

self-XSS漏洞SRC挖掘

警惕！一种用于网络钓鱼攻击的生成式人工智能恶意软件...

404->js审计->SSRF

LavaDome：一款基于ShadowDOM的DOM树安全隔离与封装工具

通过组合Self-XSS + CSRF得到存储型XSS

在线咨询

微信