(1)利用<>标记注射Html/Javascript.<script>alert('XSS')</script>(2)利用Html标签属性执行XSS很多HTML都支...
利用Javascript做后门的利用方式
//Execute A Commandrundll32.exe javascript:"..mshtml,RunHTMLApplication ";document.write();new%20Act...
CSS injection 总结
现代浏览器都已不允许在CSS中执行JavaScript了,以前的CSS注入可以利用JavaScript协议在url()、expression()中执行Javascript代码从而实现XSS。但是目前C...
JaveWeb中常见的信息泄漏——DWR类测试地址
关于DWR DWR(Direct Web Remoting)是一个用于改善web页面与Java类交互的远程服务器端Ajax开源框架,可以帮助开发人员开发包含AJAX技术的网站。...
【调查】编程语言安全漏洞一览
C++和PHP的高危安全漏洞数量远比JavaScript和Python等编程语言更多。用.NET、C++、Java、JavaScript、PHP或Python编写代码的开发人员注意了:新研究告诉你需要...
【技术分享】CVE-2021-25646 Apache Druid 远程代码执行漏洞分析
01前置知识DruidApache Druid 是用 Java 编写的面向列的开源分布式数据存储, 通常用于商业智能/ OLAP 应用程序 中,以分析大量的实时和历史数据。Druid提供了...
JS敏感信息泄露
0x00 前言这段时间jsonp漏洞再一次证明了一个微小的漏洞,经过攻击者的巧妙而持久的利用,也会对企业和用户造成巨大的危害。而本文将要介绍的JS泄露敏感信息问题也是如此,攻击者不仅可以轻松收集用户手...
JavaScript 函数劫持攻击原理
点击图片查看注册方式JavaScript 函数劫持并不是什么新颖的技术了。这两天在和同事吹牛的过程中提到了这个,就简单地再回顾回顾,以及假想在攻防的运用场景。JavaScript 函数劫持(javas...
Breaking javascript/html comments
转自:http://0xsec.org/?p=540 1.Javascript IE: /*@cc_on!alert(1)//*/ 利用IE的条件编译机制突破, about @cc_on statme...
src, href 等 url 类属性的妙用
src, href等url类属性拥有一个神奇的隐藏功能,就是可以直接修改页面的html。 先举个小例子,在当前页面执行如下代码: javascript: window.location.href = ...
XSS JavaScript 跨站脚本攻击汇总
(1)普通的XSS JavaScript注入 (2)IMG标签XSS使用JavaScript命令 (3)IMG标签无分号无引号 (4)IMG标签大小写不敏感 (5)HTML编码(必须有分号) (6)修...
Json hijacking/Json劫持漏洞
Json hijacking/Json劫持漏洞 2012/12/28 17:45 | xsser 0x00 相关背景介绍 JSON(JavaScript Object Notation) 是一种轻量级...
35