0x01 漏洞描述 jQuery是一个快速、简洁的JavaScript框架,是继Prototype之后又一个优秀的JavaScript代码库(框架)于2006年1月...
跨站脚本包含XSSI
当恶意站点从第三方域导入 JavaScript 并能够从导入的脚本中提取用户凭据等敏感细节时,就会发生跨站点脚本包含(XSSI) 攻击。如果您的网站将敏感数据存储在 JavaScript 文件中,攻击...
javascript逆向调试初探
javascript是web应用的重要部分,是web应用动态交互及展示的关键所在,web应用开发者们往往会在javascript中编写大量的逻辑代码与后端接口进行交互,例如在javascript中编写...
HTB靶场系列之Celestial通关攻略
本次write up内容是Hack The Box里machines的靶场Celestial。1-信息收集首先使用Nmap进行端口嗅探,只发现了开放3000端口。访问3000端口的WEB页面,页面内容...
攻击者通过DNS TXT记录控制的新垃圾邮件活动
我们发现了一个带有HTML附件的新金融垃圾邮件广告系列,它利用Google的公共DNS解析程序来检索嵌入在域的TXT记录中的JavaScript命令。然后,这些命令将用户的浏览器重定向到激进的交易广告...
谷歌揭露两个朝鲜黑客组织的网络攻击活动
编辑:左右里谷歌威胁分析团队(TAG)近日发布了一份研究报告,称前不久发现了两个有国家背景的朝鲜黑客组织,他们在谷歌修复漏洞的前几周利用Chrome中的远程代码执行漏洞CVE-2022-0609实施了...
一道有趣的CTF赛题-unicode引发的WebAssembly与js交互问题
0x00 前言 在前几天的DiceCTF里,遇到了一道关于WebAssembly的题目。解题时利用Unicode字符的转换问题,使前端js脚本与WebAssembly进行交互时出现异常,以达到XSS的...
神兵利器 - 关于收集JS的工具
第一步是收集可能的几个javascript文件(更多的文件=更多的路径,参数->更多的vulns)...
利用Apache Cassandra用户定义函数实现远程代码执行
近日JFrog的安全研究团队披露了Apache Cassandra中的一个RCE(远程代码执行)漏洞,该漏洞被分配给了CVE-2021-44521 (CVSS 8.4)。这个Apache安全漏洞很容易...
XSS进阶
前置知识点:①javascript基础知识javascript参考文档https://www.w3school.com.cn/jsref/index.asp自我理解的javascript基础的java...
基于依赖性分析的软件供应链评估指标对预测npm包的流行程度变化
原文作者:T Dey, A Mockus原文标题:Are Software Dependency Supply Chain Metrics Useful in Predicting Change of...
奇技淫巧(全) - XSS payload
Blind XSShttps://xsshunter.com/Encoding%u003Cscript%u003Eprompt%u0028303%u0029%u003C/script%u003E%25...
33