xhr | CN-SEC 中文网

程序逆向

JS Hook脚本分享 | Hook_xhr(assign)

前言今天尝试逆了一下某potato，逆的过程中用了一下我的Hook_xhr脚本，当我想指定抓取某个请求头时发现还得改代码，这也让我发现了这个脚本的不足，所以我又重新开了个Hook_xhr(assign...

19分钟前0 views评论

阅读全文

安全文章

利用文件上传功能利用存储型XSS漏洞导致网站访问者凭证被盗

各位网络安全研究人员和漏洞猎人，大家好，我时隔很久才发布一篇文章。最近我有点忙，因为我要兼顾大学学业，还要学习一些红队技能。今天我决定发布一篇关于文件上传漏洞的文章，该漏洞会导致存储型...

02月24日10 views评论

阅读全文

安全博客

XSS + XHR 两个案例的记录

目录案例案例一、后端 PhantomJS 导致的文件读取案例二、CVE-2019-11730 导致的文件读取利用最近在总结XSS相关的内容，记录一下最近看到的两个比较有趣的案例。案例案例一、后端...

12月24日7 views评论

阅读全文

安全文章

JS渗透逆向入门

01 起因和前言在做爬虫登录和渗透测试挖洞JS逆向的时候，除了一些简单的爬取或者传参，不需要设置太过复杂的参数构造，但是大多数情况下一些网站的用户名或者密码都会在前端进行一次加密，然后传输到后端进...

11月25日88 views评论

阅读全文

安全文章

JS渗透逆向入门深度解析

01起因和前言在做爬虫登录和渗透测试挖洞JS逆向的时候，除了一些简单的爬取或者传参，不需要设置太过复杂的参数构造，但是大多数情况下一些网站的用户名或者密码都会在前端进行一次加密，然后传输到后端进行登录...

11月22日81 views评论

阅读全文

安全文章

受信任的不安全协议的 CORS 漏洞

我将向您详细介绍我在编写 Web 应用程序时的想法。这些文章来自受控环境，深入探讨了该方法，以帮助您学习如何自己测试应用程序。目的制作使用 CORS 检索管理员 API 密钥的 Javascrip...

11月07日26 views评论

阅读全文

安全文章

漏洞分析 | CORS讲解与实战利用

获网安教程免费&进群本文由掌控安全学院-渗透你的美投稿本文由掌控安全学院-zxl2605投稿产生原因同源策略：如果两个URL的协议、域名、端口号都相同，就称这两个URL同源。同源策略（SO...

10月13日32 views评论

阅读全文

移动安全

微信公众号渗透之加密传输数据解密

目录场景快速定位明文抓取点1. 获取目标公众号页面首页URL2.chrome浏览器中安装配置v_jstools插件3. 插件配置好后，我们在浏览器中访问我们第一步获取到的url4. Chrome远程调...

10月13日46 views评论

阅读全文

安全漏洞

CVE-2023-49965 SPACE-X 星链路由器漏洞

产品：Starlink 路由器第 2 代测试版本：2022.32.0（修复在 2023.48.0 及更高版本中）漏洞类型：XSS（跨站点脚本）该漏洞是由于初始页面（http://192.168.1....

09月28日23 views评论

阅读全文

安全文章

intigriti Easter XSS challenge

文章首发于先知前言国外的一个xss challenge(规定时间内做出可得一年的Burp Suite正版证书) JY7U10.png 题目分析主要的功能逻辑代码为script.js, 如下： 123...

08月18日12 views已关闭评论

阅读全文

安全文章

价值$4,660的CSRF漏洞

01—CSRF扩大战果 CSRF 攻击的工作原理是诱骗经过身份验证的 Argo CD 用户加载一个网页，该网页包含代表受害者调用 Argo CD API 端点的代码。例如，攻击者可以向 Argo CD...

07月03日16 views评论

阅读全文

WEB前端逆向随笔

WEB前端逆向初学者的若干备忘。不管用啥办法，得尽早设法F12调试，否则进展困难。正常js不太可能用eval这类狗屎函数，Ctrl-Shift-F，全局搜索eval，命中的js都需要手工检视。有两类常...

06月26日安全文章14 views评论

阅读全文

在线咨询

微信