xhr | CN-SEC 中文网

安全文章

油猴|用JS HOOK来绕过前后端分离的前端鉴权场景(含代码)

用JS HOOK来绕过前后端分离的前端鉴权场景原理是从前端开发的角度去推理绕过的思路：众所周知，前端由我们浏览器展示，相当于所有资源是我们可控的，与服务器响应及配置无关，如果输入一个路由就直接跳转了，...

05月26日19 views评论

阅读全文

安全新闻

【独家】后门预警！某免杀WebShell存在后门

字数 2255，阅读大约需 12 分钟【独家】后门预警！某免杀WebShell存在后门起因冲浪的时候发现有个官方认证的号在宣传一个免杀webshell的网站，看到日期2025年04月，好家伙，那么新，...

05月18日25 views评论

阅读全文

程序逆向

JS Hook脚本分享 | Hook_xhr(assign)

前言今天尝试逆了一下某potato，逆的过程中用了一下我的Hook_xhr脚本，当我想指定抓取某个请求头时发现还得改代码，这也让我发现了这个脚本的不足，所以我又重新开了个Hook_xhr(assign...

05月09日12 views评论

阅读全文

安全文章

利用文件上传功能利用存储型XSS漏洞导致网站访问者凭证被盗

各位网络安全研究人员和漏洞猎人，大家好，我时隔很久才发布一篇文章。最近我有点忙，因为我要兼顾大学学业，还要学习一些红队技能。今天我决定发布一篇关于文件上传漏洞的文章，该漏洞会导致存储型...

02月24日14 views评论

阅读全文

安全博客

XSS + XHR 两个案例的记录

目录案例案例一、后端 PhantomJS 导致的文件读取案例二、CVE-2019-11730 导致的文件读取利用最近在总结XSS相关的内容，记录一下最近看到的两个比较有趣的案例。案例案例一、后端...

12月24日9 views评论

阅读全文

安全文章

JS渗透逆向入门

01 起因和前言在做爬虫登录和渗透测试挖洞JS逆向的时候，除了一些简单的爬取或者传参，不需要设置太过复杂的参数构造，但是大多数情况下一些网站的用户名或者密码都会在前端进行一次加密，然后传输到后端进...

11月25日96 views评论

阅读全文

安全文章

JS渗透逆向入门深度解析

01起因和前言在做爬虫登录和渗透测试挖洞JS逆向的时候，除了一些简单的爬取或者传参，不需要设置太过复杂的参数构造，但是大多数情况下一些网站的用户名或者密码都会在前端进行一次加密，然后传输到后端进行登录...

11月22日90 views评论

阅读全文

安全文章

受信任的不安全协议的 CORS 漏洞

我将向您详细介绍我在编写 Web 应用程序时的想法。这些文章来自受控环境，深入探讨了该方法，以帮助您学习如何自己测试应用程序。目的制作使用 CORS 检索管理员 API 密钥的 Javascrip...

11月07日29 views评论

阅读全文

安全文章

漏洞分析 | CORS讲解与实战利用

获网安教程免费&进群本文由掌控安全学院-渗透你的美投稿本文由掌控安全学院-zxl2605投稿产生原因同源策略：如果两个URL的协议、域名、端口号都相同，就称这两个URL同源。同源策略（SO...

10月13日35 views评论

阅读全文

移动安全

微信公众号渗透之加密传输数据解密

目录场景快速定位明文抓取点1. 获取目标公众号页面首页URL2.chrome浏览器中安装配置v_jstools插件3. 插件配置好后，我们在浏览器中访问我们第一步获取到的url4. Chrome远程调...

10月13日51 views评论

阅读全文

安全漏洞

CVE-2023-49965 SPACE-X 星链路由器漏洞

产品：Starlink 路由器第 2 代测试版本：2022.32.0（修复在 2023.48.0 及更高版本中）漏洞类型：XSS（跨站点脚本）该漏洞是由于初始页面（http://192.168.1....

09月28日28 views评论

阅读全文

安全文章

intigriti Easter XSS challenge

文章首发于先知前言国外的一个xss challenge(规定时间内做出可得一年的Burp Suite正版证书) JY7U10.png 题目分析主要的功能逻辑代码为script.js, 如下： 123...

08月18日12 views已关闭评论

阅读全文

在线咨询

微信