0×01 什么是webpackwebpack用于编译JavaScript模块。关注javascript技术的同学一定知道,在CommonJS和ES6中,为了支持模块化,而引入了export/requi...
javascript原型链污染
刚学完nodejs不久,趁热打铁将javascript原型链污染学习一下。 JavaScript 是一门面向对象的语言,但是在 ES6 之前,JavaScript 中没有 class 语法。不过在它的...
原创 | Digvuln Tricks之JS泄露全到后台越权
点击上方蓝字 关注我吧最近在整理笔记,找到了之前为某厂商的测试记录,特此分几篇文章来记录下用到的一些小技巧,以提高渗透测试效率。今天的主题是:Javascript接口安全,JavaScript文件泄露...
反序列化和Javascript 原型链污染攻击
常见的WEB攻击方法也看多了,学习一个新的也还是很有趣01—反序列化简单的来说就是传入的类被反序列化的时候override(重写)了这个就不多说了,网上的资料多的起飞了,现在不懂反序列化都不好说自己是...
挖掘后台api的未授权访问漏洞
文章首发于火线Zone社区(https://zone.huoxian.cn/)现在越来越多的网站前后端分离,javascript代码基本都会使用webpack这样的工具进行打包,打包过后的javasc...
通过恶意 pdf 执行 xss 漏洞
漏洞测试:下面,我们介绍如何把 JavaScript 嵌入到 PDF 文档之中。我使用的是迅捷 PDF 编辑器未注册版本1、启动迅捷 PDF 编辑器打开一个 PDF 文件,或者使用“创建 PDF 文件...
【漏洞复现】通过恶意PDF执行XSS漏洞
漏洞测试:下面,我们介绍如何把 JavaScript 嵌入到 PDF 文档之中。我使用的是迅捷 PDF 编辑器未注册版本1、启动迅捷 PDF 编辑器打开一个 PDF 文件,或者使用“创建 PDF 文件...
将JavaScript隐藏到PNG图片中来绕过CSP
译文来源:https://www.secjuice.com/hiding-javascript-in-png-csp-bypass/。受个人知识所限及偏见影响,部分内容可能存在过度曲解或误解,望师傅们...
JavaScript逆向调试记 —— defcon threefactooorx writeup
defcon 29就这一道Web题目,说实话也没学到啥东西,唯一学到的就是勿钻牛角尖,及时调整策略。此题严格来说算一道逆向题,只不过逆向的目标是混淆过JavaScript,我方法就是硬逆,等过几天看看...
JavaScript逆向基础之手工还原混淆代码
网安引领时代,弥天点亮未来 0x00具体操作1.以前为了调试代码自学的手工还原混淆代码,太久不用忘记的快差不多了,现在捡起来写个基础经验分享吧,这个是基础。2.在渗透测试过程中,如果碰到混淆...
【奇技淫巧】使用JavaScript全局变量绕过WAF XSS过滤实例
声明:此漏洞站点已修复1) 前提内容先知一篇《使用JavaScript全局变量绕过XSS过滤器》的文章https://xz.aliyun.com/t/53952) 发现过程https://foosit...
G.O.S.S.I.P 学术论文推荐 2021-8-5
今天的论文推荐来自2021年刚刚结束的Let's GoSSIP暑期学校中由汤战勇老师介绍的议题《智能软件与系统交互安全分析初探》中提及的PLDI 2021录用论文Automated Conforman...
33