最新消息:

xss

How to Xss(科普&minictf writeup)

How to Xss(科普&minictf writeup)

admin 1年前 (2015-12-22) 1114浏览 3评论

转自:http://www.math1as.com/index.php/archives/186/ 实例用minictf.sinaapp.com 自己搭建的模拟靶场里的xss题目来讲解 1.What is xss? 本名是CSS(cross sit...

富文本安全

富文本安全

admin 2年前 (2015-05-14) 707浏览 0评论

本文隐藏内容 登陆 后才可以浏览 转载请注明:jinglingshu的博客 » 富文本安全...

跨站科普:基于dom的xss漏洞原理

跨站科普:基于dom的xss漏洞原理

admin 2年前 (2015-02-06) 1080浏览 0评论

转自:http://www.cnseay.com/2393/ 最近看到网络上很多人都在说XSS我就借着暗影这个平台发表下自己对这一块的一些认识。 其实对于XSS很多人都知道利用但是很多人都忽略了漏洞存在的原因,其实说白了基于dom中的XSS都是一...

从SQLiGOD到XSS

从SQLiGOD到XSS

admin 2年前 (2015-01-03) 588浏览 0评论

SQLiGOD的详细介绍可以参考:MYSQLi小助手——SQLiGODS(联合查询回显) 转自:http://blog.sycsec.com/?p=505 0×00 前言 之前一两个月 国外好像发了一个叫做SQLiGOD的东西 感觉有点6 所以就去研...

小松鼠的黑魔法-XSS 利用

小松鼠的黑魔法-XSS 利用

admin 2年前 (2014-12-23) 697浏览 0评论

转自:http://bobao.360.cn/learning/detail/159.html PPT下载地址:http://www.jinglingshu.org/wp-content/uploads/JSEC.pdf 目前XSS漏洞普遍存在,但是...

javascript大小写特性toUpperCase()与toLowerCase()

javascript大小写特性toUpperCase()与toLowerCase()

admin 3年前 (2014-09-23) 881浏览 0评论

ps:在toUpperCase()函数中,字符ı会转变为I,字符ſ会变为S。在toLowerCase()函数中,字符İ会转变为i,字符K会转变为k。利用这些特性可以绕过xss的某些防御。 toUpperCase(): ı ==>I ſ ...

解析检查 —— 存储型XSS漏洞解决方案

解析检查 —— 存储型XSS漏洞解决方案

admin 3年前 (2014-07-27) 500浏览 0评论

博文作者:大马胖子 发布日期:2014-06-24 阅读次数:675 博文内容:   TSRC编者按: Web2.0时 代,XSS漏洞不容小觑。特别是在UGC业务,支持“安全的”HTML是业务必须的特性,这就对UGC安全过滤器要求特别高,...

绕过括号过滤实现XSS弹框

绕过括号过滤实现XSS弹框

admin 3年前 (2014-07-27) 2271浏览 0评论

在客户现场遇到一个XSS,但过滤了括号(),没办法给客户弹框演示,所以需要绕过。 urlencode和htmlencode之类常规的都绕不了,并且类似alert、confrim、prompt之类的函数都有括号,这就犯了难了。 后来想了想,可以用dat...

某XSS利用平台安全漏洞(泄漏大量cookies)

某XSS利用平台安全漏洞(泄漏大量cookies)

admin 3年前 (2014-07-09) 787浏览 0评论

简要描述: 某XSS平台存在缺陷,导致可登陆他人账号,各种各样的后台碎了一地,这样别人都为我钓鱼,我吃鱼就好了,哈哈!!卑鄙、下流、无耻已经无法形容我了,呵呵! xss太暴力、太血腥了,看了很多账号,真尼玛什么人才都有啊,插的是惊天地、泣鬼神,真是什...

浅析白盒安全审计中的XSS Fliter

浅析白盒安全审计中的XSS Fliter

admin 3年前 (2014-05-25) 683浏览 0评论

自己并不擅长xss,作为抛砖引玉的一篇总结文章,分享一下自己的见解,其实写出来感觉很惶恐。都是之前看M写的一些文章学到的姿势,在这里跪谢。 我这里的绕过侧重于白盒审计,所以不用各种测试测试很久,只用根据源码中的fliter规则写出合适的exp。 后端...

XSS现代WAF规则探测及绕过技术

XSS现代WAF规则探测及绕过技术

admin 3年前 (2014-05-19) 1138浏览 2评论

初始测试   1、使用无害的payload,类似<b>,<i>,<u>观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等; 2、如果过滤闭合标签,尝试无闭合标签的pa...

防御 XSS 攻击的七条原则

防御 XSS 攻击的七条原则

admin 3年前 (2014-04-26) 503浏览 0评论

原文出处: webappsecuritylab 前言 本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS A...

Chrome 过滤反射型 XSS的bypass

密码保护:Chrome 过滤反射型 XSS的bypass

admin 3年前 (2014-04-05) 926浏览 1评论

一、Chrome 是怎么过滤反射型 XSS 首先要说明的是它是webkit的一个模块,而非chrome,所以Safari和360安全浏览器极速模式等webkit内核的浏览器都有XSS过滤功能. 过滤方式: 通过模糊匹配 输入参数(GET query|...

Paypal的一个Dom型XSS漏洞分析

Paypal的一个Dom型XSS漏洞分析

admin 3年前 (2014-03-23) 805浏览 0评论

前言 DOM xss也称为第三种类型的xss或者类型0。现在DOM型的xss越来越多了,除了因为各种JS库比如YUI,Jquery,Jquery mobile等的使用,还有很多编程语言,比如php更多的支持了HTML5的特性。 W3school的缺陷...