0x01 前言在某次src的漏洞挖掘过程中,发现了一个payload绕过了三处xss过滤,个人觉得还是挺有意思的,所以记录一下。0x02 从一个被忽略的self xss说起在某页面...
利用 WebView2 应用进行攻击
译文来源:https://mrd0x.com/attacking-with-webview2-applications/ 。 受个人知识所限及所受偏见影响,部分内容或存在过度曲解误解现象。望各位师傅们...
javascript超链接
<html> <body> <a href="https://www.baidu.com">百度</a> </body> </html...
一个简单的JavaScript界面
<html> <body> <h1>这是h1标题</h1><h2>这是h2标题</h2><h3>这是h3标题<...
JavaScript 沙箱 vm2修复远程代码执行漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士热门的 JavaScript 沙箱环境 vm2 中存在一个bug,可导致恶意人员绕过沙箱防火措施并在主机设备上发动远程代码执行攻击。Vm2...
【漏洞复现】Couchdb系列漏洞复现
前言CouchDB 是一个开源的面向文档的数据库管理系统,可以通过 RESTful JavaScript Object Notation (JSON) API 访问。术语 “Couch” 是 “Clu...
挖到这个高危SSRF漏洞,小伙伴们都惊呆了!
前言在某次金融类众测项目中,笔者发现了一个几乎无从下手的系统,直接访问系统无任何功能,几乎相当于404 Not Found,甚至连JavaScript文件一个都不存在,最终通过渗透经验和一定的运气,拿...
实战 | 某某街一处XSS的绕过思路
0x01 前言疫情影响,过年放假呆在家里实在无聊,上去某平台看了下众测项目,想着挣点口罩钱0x02 直接闭合一开始尝试直接去闭合<a>标签,发现 "> 输出时会被...
Chromium 原型污染漏洞导致Sanitizer API 被绕过
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Chromium 项目中存在一个原型污染漏洞,可导致攻击者绕过 Sanitizer API。Sanitizer API 是一款内置浏览器库...
谈到网络安全,不能忽视Linux系统
国外的安全媒体一篇文章提到了Linux系统安全问题,这篇文章也正好可以借来纠正国内关于Linux牢不可破的神话,以前其被攻击少很大程度上因为其占有率,随着其占有率的提升,其被攻击的可能性逐渐升高,所以...
跨站脚本攻击XSS-识别XSS环境(一)
在测试反射型和存储型XSS时,一项关键任务就是识别XSS所在的环境:●响应中出现攻击者可控数据的位置。●应用程序对该数据执行的任何输入验证或其他处理。根据这些详细信息,可以选择一个或多个候选XSS的P...
屏蔽非自由软件的大型 JavaScript 脚本的浏览器扩展 | Linux 中国
导读:Stallman 建议不要运行那些复杂的或非常消耗处理能力的 JavaScript。 本文字数:1094,阅读时长大约:1分钟一个名为 GNU LibreJS 的...
33