当前位置:

  • PHP防御XSS攻击的终极解决方案

    PHP防御XSS攻击的终极解决方案
    最近测试XSS攻击修复时,找到的一个比较不错的文章,分享给大家。 Update20151202: 感谢大家的关注和回答,目前我从各种方式了解到的防御方法,整理如下: PHP直接输出html的,可以采用以下的方法进行过滤: 1.htmlspecialchars函数 2.htmlentities...
    作者:独自等待 | 发布:2016年11月03日 | 分类: 渗透测试 | 踩踏:668次 | 评论:2条
  • 利用location来变形我们的XSS Payload

    利用location来变形我们的XSS Payload
    在XSS的时候,有时候有的过滤器很变态,会过滤很多特殊符号和关键词,比如&、(、)、#、'、",特别是&和括号,少了的话payload很难构造出来。 举个例子吧,比如过滤器过滤了array("(",")","&","\\","","'"),而没有过滤双引号,输出点在<img src="x...
    作者:独自等待 | 发布:2015年12月11日 | 分类: 跨站攻击 | 踩踏:1,945次 | 评论:抢沙发
  • 当XSS遇到input hidden属性

    当XSS遇到input hidden属性
    各位小伙伴在渗透测试过程中,是否遇到了XSS在 input hidden标签中的情况?但是标签又不能闭合,只能向里面插入数据的情况,如何操作呢? 很多小伙伴遇到这样的情况,是不是直接就萎了? 因为插入在hidden标签里面的数据,是不会在html页面显示的,即使你...
    作者:独自等待 | 发布:2015年12月09日 | 分类: 跨站攻击 | 踩踏:2,885次 | 评论:5条
  • IE6 for win7下载

    IE6 for win7下载
    大家在测试中是否会遇到各种XSS,但是有些只有在IE6下面才能利用? 比如 <div style="width:expression(alert(1))">XSS测试</div> 现在我们使用的基本都是win7系统,默认安装的就是IE8了,想用IE6怎么办? 还好昨天得到了一个神器...
    作者:独自等待 | 发布:2015年9月22日 | 分类: 实用工具 | 踩踏:3,375次 | 评论:7条
    标签:,