svg - 第 4 | CN-SEC 中文网

安全文章

从文件上传到XSS：一次看似无害的漏洞奇案

大家好,我是v浪。今天给大家带来一个有趣的XSS案例分析。这个案例不仅展示了XSS漏洞的复杂性,还揭示了文件上传功能可能带来的意想不到的安全风险。让我们一起深入探讨这个由文件上传引发的XSS奇案!案例...

09月19日87 views评论

阅读全文

安全文章

文件上传和XSS漏洞的组合拳

0x1 漏洞简介文件上传原理这里利用form表单标签和类型为file的Input标签来完成上传，要将表单数据编码格式置为 multipart/form-data 类型，这个编码类型会对文件内容在上传时...

09月13日65 views评论

阅读全文

安全博客

CONFidence CTF的一道题

这道题是之前在看先知的文章看到了，看了一下发现有点有趣，记录一下题目地址：http://web50.zajebistyc.tf/预期解是svg xss，非预期是缓存投毒首先我们先看一下题目，进去是登...

08月18日13 views评论

阅读全文

安全文章

逻辑绕过+文件上传造成XSS

文章内容昨天带着以111111为账号，对密码进行爆破，任意选择一个返回包statusCode参数为200的包，将响应头及响应体进行替换到刚才抓到的登录的返回包里，一直放包，得以绕过机制...

08月09日22 views评论

阅读全文

安全文章

利用SVG绕过浏览器XSS审计

用SVG绕过浏览器XSS审计 SVG - <use> element SVG中的<use>元素用于重用其他元素，主要用于联接<defs>和alike，而我们却用它来...

08月07日58 views评论

阅读全文

安全文章

SVG Smuggling：利用图片投递的恶意载荷

背景鉴于邮件具备应用广泛和携带附件等多种优势，恶意分子利用钓鱼邮件进行恶意载荷传播已成为qakbot等勒索病毒的主要方式。然而，随着邮件防御能力的提升，恶意载荷传播方式也在不断演变。本文将详细讨论一...

08月05日74 views评论

阅读全文

CTF专场

2023领航杯 · CTF竞赛样题与WP

01 Web样题---网上商城第一步：目录扫描，发现存在git源码泄露第二步：使用githacker下载源码第三步：审计代码，发现上传SVG文件，存在XXE漏洞。 ...

07月19日114 views评论

阅读全文

安全闲碎

未知技术大揭秘，让XSS漏洞无处遁形！0x2

forever young 不论昨天如何，都希望新的一天里，我们大家都能成为更好的人，也希望我们都是走向幸福的那些人01 通过SVG文件上传的存储型XSS 安全小白团书接上回《未知技术大揭秘，让XS...

07月15日13 views评论

阅读全文

安全漏洞

Wikimedia/svgtranslate 2.0.1 远程代码执行

系统概述SVGTranslate由维基媒体开发，将SVG文件转换为PNG图像，同时允许在SVG内容中进行基于语言的文本替换。此 PHP 后端应用程序的结构通过 ApiController.php 和 ...

06月17日47 views评论

阅读全文

安全工具

XSS挖掘工具资源分享

XSS测试不同编码方式并检查是否存在任何奇怪的行为<"'`--!>如果反应为&lt %3c --> 测试双重编码https://github.com/InfoSecOne/g...

05月17日24 views评论

阅读全文

XSS-payload

项目地址：https://github.com/RenwaX23/XSS-Payloads#######################################################...

04月14日安全文章28 views评论

阅读全文

安全博客

SVG XSS的一个黑魔法

起因深入研究这个SVG黑魔法大概用了我三个多小时的时间,起因是**@陈硕**小伙伴问了我一个XSS相关的问题,让我很感兴趣,随后就深入研究了一下，整个过程很辛苦，但也很有趣。 :) 疑问陈硕给了我两个...

04月04日13 views评论

阅读全文

从文件上传到XSS：一次看似无害的漏洞奇案

文件上传和XSS漏洞的组合拳

CONFidence CTF的一道题

逻辑绕过+文件上传造成XSS

利用SVG绕过浏览器XSS审计

SVG Smuggling：利用图片投递的恶意载荷

2023领航杯 · CTF竞赛样题与WP

未知技术大揭秘，让XSS漏洞无处遁形！0x2

Wikimedia/svgtranslate 2.0.1 远程代码执行

XSS挖掘工具资源分享

XSS-payload

SVG XSS的一个黑魔法

在线咨询

微信