博客新域名:https://gugesay.com背景介绍Node.js 是一个强大且流行的构建 Web 应用程序的环境,然而,与任何 Web 技术一样,它同样受到某些安全威胁,如 XSS、CSRF ...
漏洞挖掘之XSS接管任意用户账户
在这篇文章中,const & I (mrhavit) 将分享我们发现跨站点脚本 (XSS) 漏洞的经验,该漏洞可能导致我们在参与他们的漏洞赏金计划期间在多个 TikTok 应用程序中可能被接管...
一篇文章学会csrf
本篇文章我们将详细的介绍一下CSRF的相关知识,包括原理、分类、攻击手法、修复方法等。注意测试尽量在测试环境进行,生产环境最好知道自己该干什么不该干什么!!!注意测试尽量在测试环境进行,生产环境最好知...
Google图书上发现存储型XSS
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
在 Bug 赏金计划中可能让你付出高昂代价的 10 段 JavaScript
向 bug 赏金猎人教授 JavaScript 涉及到关注该语言及其生态系统中通常与安全漏洞相关的部分。以下是 10 个 JavaScript 代码片段示例,每个示例都突出显示了 bug 赏金猎人可能...
大规模猎杀盲打 XSS——实用技术
在本文中,我将揭示大规模检测盲目跨站脚本的技术。我们将深入研究用于绕过 WAF 的 Blind XSS 有效负载、GitHub 的开源工具和方法。其中大部分部分可以自动化,但请记住,手动测试通常可以给...
BlueLotus搭建
简介BlueLotus是清华大学蓝莲花战队所写的xss测试平台,XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台,XSS可以做JS能做的所有事,包括但不 限于窃取cookie、后台...
2024年我遇到的第一个Bugs
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
Java Web代码审计实战之某RB AC系统,非常适合小白入门练习的系统
前言:【如需转载,请详细表明来源,请勿设置原创】嗨,朋友你好,我是闪石星曜CyberSecurity创始人Power7089。今天为大家带来的是【炼石计划@Java代码审计】Java代码审计实战阶段文...
Java代码审计初试
免杀是同所有的检测手段的对抗,目前免杀的思路比较多。本篇介绍了一个独特的思路,通过内存解密恶意代码执行,解决了内存中恶意代码特征的检测。同时提出了one click来反沙箱的思路,阐述了一些混淆反编译...
PDF上传导致的存储型XSS
声明:所分享内容是在国外黑客大佬的漏洞报告基础上加工整理,仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,作者不承担相应的后果.在测试Web应用程序时,发现存在...
最新Invicti Professional v24.12漏洞扫描器下载
前言 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 Invicti Pro...
109