搜索精彩内容
包含"What is XSS"的全部内容
对某cms过滤函数的突破及思考
首发于先知社区:https://xz.aliyun.com/t/2279 author:ADog 0x00 前言 这篇帖子主要真的针对的是某cms的一个处理xss漏洞的函数,函数不是很复杂,突破手段也有很多,这里讲下我对这个函数突破...
【转】某次XSS绕过总结
To:znn 0x01 背景 前段时间苏宁src五倍积分,想着无事刷一刷玩玩,碰到一个反射型XSS,如下图: 插入<img src=a>测试正常(此处截图遗失,漏洞已修补),证明存在XSS,但是过滤了许多关...
对某Flask应用的简单审计
上次去参加BCTF,第一道AWD题目就是Flask的SSTI漏洞,当时由于不熟悉Flask框架,,所以一开始没意识到这是模板命令注入的漏洞,,直到抓到别人的流量才知道了payload,,回来之后好好学了下Flas...
代码审计之云EC电商系统 v1.2
0x00 cms简介 云EC电商系统是由一套基于PHP+MYSQL开源的、免费的电商系统软件。支付整合了支付宝三端支付(PC、手机、APP),微信三端支付(PC扫码、微信公众号、APP),银联支付。 模块化设计...
基于访问日志的异常请求检测
1 前言 看了兜哥在freebuf上的专栏文章《学点算法搞安全之HMM(上篇)》,大意就是将URL参数进行范化,然后使用hmm算法来进行训练和测试,这里检测的重点是xss,但是带着我自己的疑问认真看了下...
Tomcat下基于Listener的内存Webshell分析
前言 在浏览《JSP Webshell那些事 -- 攻击篇(下)》时里面提到了一种不常见的内存马构造方式,一般来说Tomcat下的内存马都是基于StandardContext来构建的,并且文中提到了web.xml对于这三种组件...
[转]如何从日志文件溯源出攻击手法?
导语:如果想要查清系统遭到黑客入侵的原因或漏洞,通过日志查找是一种很好的方法。 如果想要查清系统遭到黑客入侵的原因或漏洞,通过日志查找是一种很好的方法。日志文件是由服务器提供的非常...
XSS Challenges wp
偶然在看知道创宇黑客技能表,里面的知识很全,于是发现了这个xss平台,类似于ctf,不过只针对xss这个类别,下面将详细的解题方法写出来,比较适合刚学xss的小白,大牛绕过~(文末有彩蛋) 题目...
beef+msf实现内网渗透
在内网渗透方面,最为大众所知道的就是xp系统的ms08067漏洞,通过这个漏洞可以对未打上补丁的xp系统实现getshell,但是经过笔者发现,这种漏洞攻击在被攻击机开上windows防火墙的时候是没用的(...
代码审计之YXcms1.2.1
这篇文章就算是漏洞复现吧。。下面进入正题~ 拿到源码,首先在seay代码审计系统扫扫看看有没有明显的漏洞~ 全篇都是用的类,,,对于这种框架类的我很少接触,,这次就算好好研究吧~ 扫下来没...