来自:掘金,作者:宫本链接:https://juejin.im/post/6857698580817182728什么是 XSS?Xss 全称 Cross Site Scripting(跨站脚本),为了...
使用fuzzilli对Javascript引擎QuickJS进行Fuzzing和漏洞分析
作者:维阵漏洞研究员—lawren概述Javascript 解析引擎不论是在PC端还是移动端都有非常多的应用实例,甚至于最新发布的鸿蒙 OS 2.0 其中都使用了JS解析引擎作为上层和系统...
原创 | JaveWeb中常见的信息泄漏——DWR类测试地址
点击上方蓝字 关注我吧关于DWRDWR(Direct Web Remoting)是一个用于改善web页面与Java类交互的远程服务器端Ajax开源框架,可以帮助开发人员开发包含AJAX技术的网站。DW...
为精准用户画像,恶意npm软件包窃取浏览器文件
据科技媒体 ZDNet 的报道,npm 安全团队近日发现了一个恶意的 JavaScript 库,该库旨在从受感染用户的浏览器和 Discord 应用程序中窃取敏感文件。这个名为 "fallguys" ...
Java Nashorn 的利用
Java Nashorn 的利用!内容摘要: 命令执行、 功能执行、 代码混淆1.Java Nashorn 介绍 (废话)从JDK 1.8开始,Nashorn取代Rhi...
$15,300赏金计划之Paypal密码暴露
在寻找安全漏洞时,对未知资产和隐蔽站点的搜集通常最终会让人舍本逐末。如果您对一个目标进行安全测试,就像第一次对它执行安全评估一样细致,彻底检查所有内容,那么我相信您一定会找到新的东西:尤其是如果要测试...
MDwiki <= v0.6.2 DomXSS Vulnerability
(MDwiki 是一个完全使用 HTML5/Javascript 技术构建,完全运行在客户端的 Wiki/CMS 系统。无需专门的服务器软件,只需将 mdwiki.html 上传到...
siteserver cms管理员找回密码功能存在重大缺陷
简要描述: siteserver cms管理员密码找回逻辑存在漏洞,可直接绕过获取管理员密码 详细说明: 管理员的“密码找回问题答案”为非强制项,一般都留空。
我为何在博客模板留后门
在前段时间,我在我博客的模板上加入了后门(JavaScript),今天去除,并将思路简单的写出来。
siteserver cms管理员找回密码功能存在重大缺陷
简要描述: siteserver cms管理员密码找回逻辑存在漏洞 ,可直接绕过 获取管理员密码 详细说明: 管理员的“密码找回问题答案”为非强制项,一般都留空。
针对各种形式的文件上传漏洞总结
1.在很早以前,很多上传文件过滤是用的是javascript,所以改一下javascript或直接nc发包就行了。有的是判断后缀,有的只是判断id,比如:
看我如何利用JavaScript全局变量绕过XSS过滤器
译文声明:本文是翻译文章,文章原作者secjuice,文章来源:secjuice.com 原文地址:https://www.secjuice.com/bypass-xss-filters-using...
33