javascript - 第 33 | CN-SEC 中文网

安全文章

【快报】利用 JavaScript 探测 iPhone 锁定模式

0x00 什么是锁定模式锁定模式是运行 iOS 16 和 iPadOS 16 的 iPhone 和 iPad 上的一项新功能，同时也是对 Pegasus 间谍软件的回应，根据 Apple 的说法，很少...

02月16日91 views评论

阅读全文

安全新闻

开发人员注意！450 多个 PyPI 软件包中发现了 Clipper 恶意软件

恶意行为者在官方 Python 包索引 (PyPI) 存储库中发布了超过 451 个独特的 Python 包，试图用clipper 恶意软件感染开发人员系统。发现这些图书馆的软件供应链安全...

02月16日62 views评论

阅读全文

安全文章

渗透测试中的 URL 重定向

本文为信安之路内部 wiki 第 144 篇文章，注册解锁全部文章开放重定向（Open Redirect），也叫URL跳转漏洞，是指服务端未对传入的跳转url变...

02月13日40 views评论

阅读全文

安全闲碎

OpenSSF 发布NPM供应链最佳实践指南

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士专栏·供应链安全数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为...

02月03日62 views评论

阅读全文

安全工具

用于检测注入漏洞（RCE、LFI、SQLi）的动态有效负载生成的 burp 扩展

Agartha 是一个渗透测试工具，它创建动态有效负载列表和用户访问矩阵，以揭示注入缺陷和身份验证/授权问题。已经存在许多不同的攻击有效载荷，但 Agartha 创建了运行时、系统和供应商中立的有效载...

02月02日63 views评论

阅读全文

安全文章

XSSed通关教程

XSSed通关教程首先整体浏览网站进入Level1 Basic XSS首先整体浏览网站对源码进行分析漏洞产生于如下代码段：echo($_GET['q']);直接将用户输入插入了html页面，没有任何过...

01月30日26 views评论

阅读全文

如何侦查js文件

如何侦查js文件声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。前言为什么要搜集javas...

01月29日安全文章35 views评论

阅读全文

JavaScript高级程序设计（第4版）

微信公众号：计算机与网络安全▼JavaScript高级程序设计（第4版）▼（全文略）本书是JavaScript经典图书的新版。第4版涵盖ECMAScript 2019，全面、深入地介绍了JavaScr...

01月22日安全开发29 views评论

阅读全文

CTF专场

CTFer成长之路-任意文件读取漏洞-文件读取漏洞常见读取路径(Docker版)

漏洞一：JavaScript对象污染；axios SSRF（UNIX Socket）攻击Docker API读取本地文件①拉取轻量级镜像docker pull alpine：latest=&...

01月17日98 views评论

阅读全文

安全文章

常用XSS-Payload集合

<fieldset//%00//onsite OnMoUsEoVeR=u0061u006Cu0065u0072u0074`1`>javascript%3avar{a%3aonerror}%...

01月11日60 views评论

阅读全文

常见WEB基础漏洞

sql注入就是服务端没有对客户端的输入信息做过滤,并且信息被带入了数据库查询。SQL注入攻击通过构造特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，对数据库进行任意操作。...

01月09日安全文章23 views评论

阅读全文

安全文章

JSONP劫持及原理

什么是 JSONJSON指的是JavaScript对象表示法（ JavaScript Object Notation）JSON是轻量级的文本数据交换格式JSON是存储和交换文本信息的语法，类似XML但...

01月07日13 views评论

阅读全文

在线咨询

微信