声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。博客新域名:https://gugesay...
04月19日1 views评论xss
重定向
如何将DOM XSS升级为一键帐户接管(上集)
04月19日1 views评论xss
重定向
04月19日1 views评论xss
重定向
漏洞打假之金和OA upload_json.asp存在任意文件上传漏洞
漏洞打假 起因是在浏览CSDN的时候,看到了一篇关于金和OA C6平台的漏洞文章,写着"任意文件上传" 根据文章描述可以看出金和oa自带KindEditor组件,可以造成未授权文件上传,...
04月17日8 views评论xss
任意文件上传漏洞
有什么蛛丝马迹可以判断系统存在SQL注入漏洞,且如何临时应对?
了解网络安全防御工作的人即使不是技术背景,都会知道 SQL 注入漏洞的常见程度以及这种漏洞危害的严重性。按行内普遍共识,SQL 注入漏洞和弱密码漏洞一样,都是属于不可原谅的漏洞。笔者:国际认证信息系统...
04月15日5 views评论xss
网络安全
SRC挖掘技术总结
免责声明道一安全(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵...
04月15日15 views评论xss
挖掘技术
XSS-payload
项目地址:https://github.com/RenwaX23/XSS-Payloads#######################################################...
04月14日安全文章7 views评论payload
xss
某家电企业面经
布尔注入和延时注入的区别sql注入一般怎么检测,输入什么语句xss有哪几种类型,这几种类型有什么区别有没有利用过存储型的xss(窃取cookie之类)认证绕过如何检测如何展开渗透测试(渗透测试检测流程...
04月11日安全职场3 views评论xss
渗透测试
XSS WAF 绕过 一种负载适用于所有人
当我开始漏洞奖励时,一个主要障碍是 WAF 阻止了我的 XSS 注入。所以我的任务是找到一个“通用”的有效负载,在大多数情况下都有效起初,我遇到了带有 cloudflare 的程序,尽管可以通过 Gi...
04月10日6 views评论xss
有效负载
SRC案例 | %的妙用
前言在实战中大家经常会遇到搜索框,一般会测试xss、sql注入等等。如果没有上述两种漏洞怎么办,我们可以通过某种方式直接获取全部数据。原理很多时候,后台会使用like语法来模糊匹配。那么这种情况下,假...
04月09日10 views评论sql注入
xss
关于 XSS 的思维导图
两个非常隐蔽的bug导致的Python xss filter绕过
最近在搜索Python的xss filter的时候看到这样一篇文章 http://www.tuicool.com/articles/RjyqYn (时间有点久远了,原文不知道为什么删掉了)。 代码如下...
04月04日1 views评论filter
xss
html和js编码解码导致的xss问题
在js中对特殊字符进行转义我们可以使用下面的函数, function _html_encode(str) { if (!str.length) { return ""; } var result = ...
04月04日安全博客3 views评论document
xss
qq空间某被利用的xss分析
今天听说有些人在点击了几个花千骨的广告视频后,自己的qq空间里面就被莫名其妙的分享了一些广告,还自动添加了好友。 怀疑是qq空间的xss或者csrf。在对那几个视频页面进行分析后没有发现什么可疑的代码...
04月04日4 views评论document
xss
111