当前位置:

  • PHP防御XSS攻击的终极解决方案

    PHP防御XSS攻击的终极解决方案
    最近测试XSS攻击修复时,找到的一个比较不错的文章,分享给大家。 Update20151202: 感谢大家的关注和回答,目前我从各种方式了解到的防御方法,整理如下: PHP直接输出html的,可以采用以下的方法进行过滤: 1.htmlspecialchars函数 2.htmlentities...
    作者:独自等待 | 发布:2016年11月03日 | 分类: 渗透测试 | 踩踏:10,197次 | 评论:7条
  • 利用location来变形我们的XSS Payload

    利用location来变形我们的XSS Payload
    在XSS的时候,有时候有的过滤器很变态,会过滤很多特殊符号和关键词,比如&、(、)、#、'、",特别是&和括号,少了的话payload很难构造出来。 举个例子吧,比如过滤器过滤了array("(",")","&","\\","","'"),而没有过滤双引号,输出点在<img src="x...
    作者:独自等待 | 发布:2015年12月11日 | 分类: 跨站攻击 | 踩踏:6,275次 | 评论:抢沙发
  • 当XSS遇到input hidden属性

    当XSS遇到input hidden属性
    各位小伙伴在渗透测试过程中,是否遇到了XSS在 input hidden标签中的情况?但是标签又不能闭合,只能向里面插入数据的情况,如何操作呢? 很多小伙伴遇到这样的情况,是不是直接就萎了? 因为插入在hidden标签里面的数据,是不会在html页面显示的,即使你...
    作者:独自等待 | 发布:2015年12月09日 | 分类: 跨站攻击 | 踩踏:13,216次 | 评论:6条
  • 如何防止跨站点脚本攻击

    如何防止跨站点脚本攻击
    1. 简介 跨站点脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免跨站脚本,浏览器...
    作者:独自等待 | 发布:2014年9月10日 | 分类: 跨站攻击 | 踩踏:15,866次 | 评论:1条
  • web前端黑客技术揭秘pdf下载

    web前端黑客技术揭秘pdf下载
    介绍 《Web前端黑客技术揭秘》编著者钟晨鸣、徐少培。 Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含 Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三 大类,涉及的知识点涵盖信任与信任关系、Cookie安全、FlaSh...
    作者:独自等待 | 发布:2013年10月22日 | 分类: 跨站攻击 | 踩踏:14,062次 | 评论:1条
  • 前端安全:know it then hack it

    前端安全:know it then hack it
    法客论坛的ack总结的关于web前端黑客中XSS的利用,很实用的技术。详细的介绍了XSS可以执行的地方,对我们学习前端安全及XSS攻击很有帮助,希望大家好好学习。 一、html可以执行javascript的地方有哪些? 先举个例子 比如这个代码 <a href="$a&quo...
    作者:独自等待 | 发布:2013年10月21日 | 分类: 跨站攻击 | 踩踏:8,277次 | 评论:3条
  • .NET跨站请求验证绕过

    .NET跨站请求验证绕过
    在各位大黑客们的努力下,人们对信息安全越来越重视,对我等小菜来说就杯具了,这就意味着我们可以利用的漏洞将越来越少,再也不能像以前一样"给我一个注入点,我将搞定整个网站",那么我们把精力投入到XSS中来吧,也许你能发现更多精彩。关注XSS,请先阅...
    作者:独自等待 | 发布:2013年10月15日 | 分类: 跨站攻击 | 踩踏:10,785次 | 评论:6条
  • 跨站测试与利用中的绕过技术

    跨站测试与利用中的绕过技术
    之前本站发了几个关于SQL注入的绕过技术,但是XSS的利用一直没有发,主要是我也没有详细研究,国庆期间网上找了点资料,看到了这个文章,觉得比较好,分享给大家。 本文从以下几个方面简单介绍了跨站中的绕过技术: 1、bypass Char(字符过滤) 2、bypass...
    作者:独自等待 | 发布:2013年10月11日 | 分类: 跨站攻击 | 踩踏:16,882次 | 评论:1条