挖掘思路: F12 -> 源代码 -> 全局监听器 -> message -> 分析消息判断是否有消息源的校验 &nbs...
02月08日102 views评论html
post
小皮面板RCE复现
免责声明:文中提到的所有技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途,否则后果自行承担!漏洞成因小皮面板登录失败时会将失败的用户名记录,并输出到面板首页,而这一过程没有对...
02月07日128 views评论rce
xss
XSSed通关教程
XSSed通关教程首先整体浏览网站进入Level1 Basic XSS首先整体浏览网站对源码进行分析漏洞产生于如下代码段:echo($_GET['q']);直接将用户输入插入了html页面,没有任何过...
01月30日23 views评论payload
xss
JavaScript高级程序设计(第4版)
微信公众号:计算机与网络安全▼JavaScript高级程序设计(第4版)▼(全文略)本书是JavaScript经典图书的新版。第4版涵盖ECMAScript 2019,全面、深入地介绍了JavaScr...
01月22日安全开发26 views评论api
javascript
免杀框架 -- Shipwreck(1月15日更新)
===================================免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负...
01月19日62 views评论dll
工具
CVE-2022-42889漏洞复现Apache Commons Text RCE
漏洞描述:在 Apache Common Text 包 1.5 到 1.9 中发现了一个存在缺陷的代码执行版本。攻击者从 Apache Commons Text 中包含的过程中成功完成,插值可能被动态...
01月12日269 views评论apache
url
Pikachu靶场-Cross-Site Scripting
2.Cross-Site Scripting1.XSS(跨站脚本)概述XSS(跨站脚本)概述Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又...
12月28日23 views评论payload
xss
Fortify软件安全内容 2022 更新 4
关于Fortify软件安全研究Fortify 软件安全研究团队将前沿研究转化为安全情报,为 Fortify 产品组合提供支持,包括 Fortify 静...
12月19日安全工具187 viewsFortify软件安全内容 2022 更新 4已关闭评论api
版本
关于webshell免杀的应用思路
ə head@深蓝实验室重保天佑战队前言在攻防场景下,比如我们常常在找到某个上传接口,第一步肯定是先测试后缀是否有限制,第二步则是测试上传的文件是否能解析,最后便确认即将要上传的webshell内容是...
12月16日30 views评论asp
webshell
BurpSuite前端加密插件 -- jsEncrypter
一、工具介绍本插件使用phantomjs启动前端加密函数对数据进行加密,方便对加密数据输入点进行fuzz,比如可以使用于前端加密传输爆破等场景。二、安装与使用1、运行靶机项目提供了一个用php编写的靶...
12月09日73 views评论payload
加密
Web安全之一文看懂XSS
0x01、XSS的原理和分类跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆故将跨站脚本攻击缩写为X...
12月07日28 views评论xss
用户
【原创】关于Argon 主题添加的一部分扩展详情
首先感谢作者solstice23开源主题。辛苦了!!! 主题地址:https://github.com/solstice23 官方文档&博客:https://solstice23.top/ar...
12月03日64 views评论com
https
13