搜索精彩内容
包含"What is XSS"的全部内容
emlog全版本CSRF加用户xsser.me模块
前几天写了那个CSRF防御模块,官网回应较少,看来那里鲜有人把安全放在眼中。。今天干脆封装一个CSRF的模块,加入xsser.me这个平台里,方便以后的渗透。如果你的目标或目标的旁站...
emlog后台作者权限SQL注入
实话说,以后不想再挖web漏洞了,也不想发这类文章,web的东西搞来搞起就是那个样,我原本就不想深入,想那些大神一样能把一个cms分析得透彻。我有时候只是泛泛地看,泛泛地找一...
浅析白盒安全审计中的XSS Fliter
好久没写总结文。一转眼就到了4月,离可以游泳的季节又近了一步,心里还有点小激动。 这段时间也是学习了一些新东西,包括富文本的XSS,还有我正在看的node.js...
浅析白盒审计中的字符编码及SQL注入
在freebuf上莫名地被喷,可能是因为被喷让人气上来了,最后得到的金币比前一篇文章更多。塞翁失马,焉知非福? 尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统...
web.py指南性说明
整理一下这些天研究web.py的一些经验,写一篇具有划时代意义的指南性说明~哈哈,开个玩笑,谨以此文献给所有学习web.py的同学以及Aaron Swart. web.py是一个开...
XssHtml – 基于白名单的富文本XSS过滤类
啦啦啦,去了北京参加荣耀6的发布会,真心不错呀这款手机,在这里无耻地推荐一下。与会的同学都获得了一枚荣耀6,说说我的感受吧:CPU真心给力,跑分很高;价格合理,2000是荣耀一贯的高性价比...
新浪某站CRLF Injection导致的安全问题
CRLF Injection很少遇见,这次被我逮住了。我看zone中(http://zone.wooyun.org/content/13323)还有一些同学对于这个漏洞不甚了解,甚至分不清它与CSRF,我详细说一下吧。 CRLF是”回车 + ...
利用location来变形我们的XSS Payload
这篇文章是前段时间从某群中学到的姿势,我分享出来~ 在XSS的时候,有时候有的过滤器很变态,会过滤很多特殊符号和关键词,比如&、(、)、#、'、',特别是&和括号,少了的话payload很难...