作者简介ashx:腾讯安全科恩实验室安全研究员、Katzebin战队副队长、TCTF出题人之一;主要研究Web安全,在各类的Web应用中发掘不少高危漏洞;作为A*0*E与Katzebin成员参与多场C...
hvv面试题整理(补充版)
由于篇幅的原因上一次有一些常见的面试题没有发完,承接上次面试题整理如下:sql 注入的分类?sql 注入的预防?序列化与反序列化的区别常见的中间件漏洞?内网渗透思路?正向代理和反向代理的区别蚁剑/菜刀...
国外某cms代码审计实战
✎ 阅读须知乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入...
【渗透基础系列】一文读懂XSS、CSRF、SSRF、XXE漏洞原理、应用、防御
【Hacking黑白红】,一线渗透攻防实战交流公众号回复“电子书”获取web渗透、CTF电子书:回复“视频教程”获取渗透测试视频教程; 回复“内网书籍”获取内网学习书籍;&nbs...
一则有趣的XSS WAF规则探测与绕过
前言本文是以B站一个有趣的XSS(已修复)为引子(为什么说有趣后面再解释),作为实例分析其WAF的规则,方便大家加深对XSS WAF探测以及针对性bypass的理解。进入主题一、一般waf是由多条正则...
xss挖掘初上手
本文主要总结了xss可能出现的场景。偏向于案例,最后分享一哈简单的绕过和比较好用的标签。1.搜索框首先看能否闭合前面的标签。如输入111”><svg/onload=alert(1)>...
《记一次漏洞挖掘》第二季
0x01 写在前面今天发现了个有趣的URL特性,跟大家分享下。授权项目,重马伺候~0x02 漏洞发现拿到系统,先找高危,看到一处文件上传:本来想试下任意文件上传,结果白名单验证,遂放弃。但是测试过程中...
CVE-2021-34506漏洞复现
这是 酒鬼花生米儿 的第 03 篇文章。全文共计1469个字,预计阅读时长5分钟。美好的晚上正在喝着肥宅快乐水刷着抖音 发现...
BeEF 客户端攻击框架的秘密(一)
一、介绍BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。一个简单的XSS漏洞,外表骨感,内在丰满,XSS漏洞结合BEEF框架进行渗透...
bypass AngularJS沙盒
{{[''.constructor.prototype.charAt=[].join]|orderBy:'x=1} } };alert(1)//'}}往期相关bypass:bypass xss pay...
漏洞扫描-最新Netsparker v6.4.0.35166 直装破解版
0x01 Netsparker介绍 全自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找您的网站、Web 应用程序和 Web 服务中的安全漏洞。 0x02 Netsparker更新介...
beef
一、beef介绍BeeF是前欧美最流行的web框架攻击平台,kali 集成Beef,而且Beef有很多好使的payload。例如,通过XSS这个简单的漏洞,BeeF可以通过一段编制好的javascri...
112