免责声明由于传播、利用本公众号开心网安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号开心网安及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
内容安全策略(CSP)绕过
介绍内容安全策略 (CSP) 是一个特殊的 HTTP 标头,用于缓解某些类型的攻击,例如跨站点脚本 (XSS)。一些工程师认为 CSP 是抵御 XSS 等漏洞的灵丹妙药,但如果设置不当,可能会引入错误...
JSONP劫持漏洞攻防指南
一、JSONP技术原理剖析 1.1 核心机制 JSONP(JSON with Padding)是一种基于动态脚本注入的跨域通信技术,其核心原理如下: // 客户端定义回调处理函数function ha...
面试篇 | 网安春招大厂面试题精选:看这一篇就够了,必看!!!(2)
免责声明! 本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。 为什么aspx木马权限比asp大? aspx使用的是.n...
JSONP劫持漏洞
JSONPJSONP(JSON with Padding)是一种绕过同源策略,跨域访问资源的技术,原理是通过利用<script>标签可以跨域访问资源的特性。特点仅允许GET方法。服务器支持...
JSONP-Hunter 一键自动挖掘jsonpxss Burpsuite插件
PART01工具概述今天介绍一款burpsuite插件,可以被动扫描自动挖掘jsonpxss漏洞,不知道jsonp的,可以查看之前的文章:浅谈JSONP 劫持漏洞、腾讯视频2处jsonp...
一个运行在firefox上的jsonp蜜罐被动扫描器
简介 嗅嗅是一款运行在firefox上的jsonp蜜罐被动扫描插件: 安装好扩展后,可以在浏览器左上角打开它: 运行后,嗅嗅可以在后台检测当前网页发起的跨站请求,若具有jsonp接口特征...
国家护网(HVV)蓝中高面试题
前言网络安全已经成为我们生活中不可或缺的一部分。网络攻击的手段也在不断升级,而国家护网(HVV)作为我国网络安全领域的重要举措,旨在提升全民的网络安全意识,加强网络安全防护能力。现在正好HW的初期,乘...
jsonpath-plus存在远程代码执行漏洞(CVE-2025-1302)
洞描描述:版本号为10.3.0之前的јѕоnраth-рluѕ软件包存在远程代码执行(RCE)漏洞,原因是输入验证不当,攻击者可以通过利用不安全的默认еvаl='ѕаfе'模式执行系统上的任意代码。影...
XSS漏洞挖掘上
免责声明由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此承担任何责任,一旦造成后果请自行承担!本文为连载文章欢迎大家关...
泛微-云桥e-Bridge addTasteJsonp 接口存在SQL注入漏洞 POC
漏洞介绍 泛微云桥e-Bridge是在"互联网+”"的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的 系统集成Q平台。它旨在解决企业信息化建设中面临的系统对接复杂、信息孤岛等问...
浅谈蜜罐原理与规避
本文由掌控安全学院 - yuy0ung 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 随着攻防的不断发展,厂商和蓝队的防御手段越来越精进,也有...