javascript - 第 15 | CN-SEC 中文网

安全博客

xss challenge 刷题记录

很久以前学了xss，但是没有系统的刷过题，前几天看国际赛的题目有几题xss的题目，感觉还是不是很熟，干脆找个平台来做一做。这个是一个日本人写的平台，http://xss-quiz.int21h.jp/...

08月18日11 views评论

阅读全文

安全博客

javascript原型链污染

前几天大佬们培训讲到了一个没怎么听过的东西，记一记做个笔记。原型对象介绍肉鸡只是一个小后台，对于前端真的不怎么会，先介绍一哈在javascript里面只有一种结构，那就是对象，每个对象都会有一个原型...

08月18日7 views评论

阅读全文

安全文章

从浏览器渲染与解码原理重新认识xss

前言从浏览器渲染的角度重新理解一下xss 浏览器的渲染原理目前主要的两个渲染引擎为 webkit和Gecko Geoko为Firefox使用，而Chrome和Safari主要使用是Webkit Web...

08月18日16 views已关闭评论

阅读全文

安全文章

Chrome 渲染器中的对象转换到 RCE

在这篇文章中，我将利用CVE-2024-5830，这是我在2024年5月报告的v8（Chrome的JavaScript引擎）中的一个类型混淆漏洞，编号为bug 342456991。该漏洞已在版本126...

08月14日19 views评论

阅读全文

安全新闻

后门病毒伪装PDF文档，利用钓鱼邮件实现远控

近期，火绒威胁情报中心在日常巡视中发现一恶意 GitHub 存储仓库存在病毒风险行为，火绒安全工程师第一时间提取样本进行分析。分析中发现该样本通过混淆 JavaScript 作为执行体，先下载 PDF...

08月13日53 views评论

阅读全文

安全文章

一个绕过某SRC厂商三处XSS过滤的payload

在某次src的漏洞挖掘过程中，发现了一个payload绕过了三处xss过滤，个人觉得还是挺有意思的，所以记录一下。 0x02 从一个被忽略的self xss说起在某页面信息如下，我决定对回复内容...

08月10日26 views评论

阅读全文

安全文章

关于Rhino的一些姿势利用

概述Rhino 是完全使用 Java 编写的 JavaScript 的开源实现，使 Java 可以调用 js 脚本，实现脚本语言与 Java 语言的数据交换如果使用了与 Ubuntu 或 Debian...

08月08日17 views评论

阅读全文

安全文章

利用SVG绕过浏览器XSS审计

用SVG绕过浏览器XSS审计 SVG - <use> element SVG中的<use>元素用于重用其他元素，主要用于联接<defs>和alike，而我们却用它来...

08月07日68 views评论

阅读全文

安全文章

字符串漏洞分析：字符串连接与格式字符串

如果我们选择JavaScript作为编程的首选语言，那么我们不必担心字符串连接问题。然而我们经常遇到的一个反复出现的问题是必须等待JavaScript的npm包管理器安装完成所有必需的依赖项。在这篇文...

08月07日10 views评论

阅读全文

安全文章

注入恶意JS代码到PDF实现下载器功能

介绍和前言PDF 文件通常被大多数人视为静态文档。但是，PDF 标准允许在文档中执行 JavaScript 代码。此功能提供了可用于红队测试和网络安全研究的各种攻击载荷。在本文中，我们将介绍如何将 J...

08月06日44 views评论

阅读全文

安全文章

10 种 XSS 绕过姿势，以及思路分析

xss 基础：Web安全中的XSS攻击详细教学，Xss-Labs靶场通关全教程（建议收藏）（一）、Web安全中的XSS攻击详细教学（二）--已完结如果懒得找靶场和安全狗防火墙后台回复【靶场】即可获...

08月02日67 views评论

阅读全文

安全文章

Upload-Lab第一关：轻松绕过前端验证的技巧！

❝大家好！我是一个热衷于分享IT技术的up主。在这个公众号里，我将为大家带来最新、最实用的技术干货，从编程语言到前沿科技，从软件开发到网络安全。希望通过我的分享，能够帮助更多的小伙伴提升技术水平，共同...

07月31日29 views评论

阅读全文

xss challenge 刷题记录

javascript原型链污染

从浏览器渲染与解码原理重新认识xss

Chrome 渲染器中的对象转换到 RCE

后门病毒伪装PDF文档，利用钓鱼邮件实现远控

一个绕过某SRC厂商三处XSS过滤的payload

关于Rhino的一些姿势利用

利用SVG绕过浏览器XSS审计

字符串漏洞分析：字符串连接与格式字符串

注入恶意JS代码到PDF实现下载器功能

10 种 XSS 绕过姿势，以及思路分析

Upload-Lab第一关：轻松绕过前端验证的技巧！

在线咨询

微信