xss - 第 8 | CN-SEC 中文网

安全文章

AI大模型安全：从XSS攻击看大模型的风险与防护

前言最近，我在HackOne平台上参与了一个AI模型的安全测试项目，发现了一个有意思的漏洞：通过评论区植入XSS Payload，诱导大模型成功触发XSS。本文将深入探讨这一漏洞的成因，并分享如何通过...

05月17日32 views评论

阅读全文

安全文章

从XSS到RCE的PC端利用链构建

前言先铺垫一下。笔者有一个习惯，懒得记各种命令和payload，手工渗透测试时，遇到比较长的payload的情况下，不想一个一个地去手敲命令，于是我之前就在github上想寻找一个类似于记事本的软件，...

05月16日25 views评论

阅读全文

安全工具

Chypass_pro【AI驱动的XSS WAF绕过工具】

之前我们团队负责的某政务系统漏洞复测，可把大家整得够呛——传统XSS测试工具在宝塔WAF面前跟碰壁苍蝇似的，连个能绕过去的payload都整不出来。这时候我翻出压箱底的Chypass Pro。咱们先说...

05月15日27 views评论

阅读全文

安全文章

客户端漏洞在红蓝对抗中的挖掘与利用

客户端风险背景概述客户端软件是指在用户的设备上运行的程序，通常用于访问和与服务器进行交互。它们可以提供各种功能，包括数据处理、用户界面和网络连接。常见的客户端软件有办公软件(Office、WPS等)，...

05月15日24 views评论

阅读全文

安全工具

网络攻防必刷的靶场

01基础类靶场 sql-libs靶场1.专注于SQL注入漏洞的学习和测试，提供多种注入场景，适合新手练习SQL注入攻击。2.下载地址：[sql-libs GitHub： https://github....

05月13日32 views评论

阅读全文

安全百科

XSS由浅入深

原文链接：https://xz.aliyun.com/news/17955XXS漏洞漏洞原理跨站脚本攻击（Cross Site Scripting，简称 XSS），当应用程序将用户提交的数据发送到浏览...

05月13日37 views评论

阅读全文

安全百科

src漏洞挖掘之XSS由浅入深

扫码加圈子获内部资料网络安全领域各种资源，EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。加内部圈...

05月13日27 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/5/8】

2025-05-08 微信公众号精选安全技术文章总览洞见网安 2025-05-08 0x1 第122篇：国hu攻防比赛蓝队防守经验总结（中篇）希潭实验室 2025-05-08 22:35:56 本文详...

05月09日32 views评论

阅读全文

XSS（跨站脚本攻击）的非常规高级利用技巧

以下是XSS（跨站脚本攻击）的非常规高级利用技巧，涵盖深度渗透、持久化攻击及现代浏览器特性滥用等场景，适合在严格防御环境下突破限制：一、持久化与深度渗透1. Service Worker劫持场景：目标...

05月08日安全文章25 views评论

阅读全文

安服面试笔记（上）

面试笔记分为上下两部分，前半部分总体来说偏向于基础面试不同的岗位，相对应的面试题量及难易程度也会不同，安服偏向于应急等知识，所以侧重点不是渗透的知识借用一句话：背诵面试题目只是骗自己，技术晋升大部分都...

05月07日安全职场22 views评论

阅读全文

安全文章

实战|众测挖洞经验分享

前言一次众测参加的项目，目标是学校，比较简单，打开给的目标文档，全部都是某地区学校的网站，一共1000多个，大部分都是静态页面，没什么测的，先拿扫描器扫一波，然后慢慢手测反射型xss 反射型xss...

05月06日34 views评论

阅读全文

代码审计

JAVA代审之XSS漏洞

一般来说，XSS 的危害性没有 SQL 注入的大，但是一次有效的 XSS 攻击可以做很多事情，比如获取 Cookie、获取用户的联系人列表、截屏、劫持等。根据服务器后端代码的不同，XSS 的种类也不相...

05月06日20 views评论

阅读全文

在线咨询

微信