技术栈
xss
安全系统学习
1 天前
前端
·
安全
·
web安全
·
网络安全
·
xss
网络安全之漏洞学习
由于Apache Tomcat的Partial PUT原始实现使用了一个基于用户提供的文件名和路径生成的临时文件,当处理不完整的PUT请求时,会将文件路径中的分隔符 / 替换为 .,当应用这时使用了 Tomcat 的文件会话持久化并且使用了默认的会话存储位置,攻击者就可以通过 partial PUT请求将包含恶意序列化数据的文件上传至会话目录,并完成反序列化
安全系统学习
2 天前
前端
·
安全
·
web安全
·
网络安全
·
xss
系统安全之大模型案例分析
最近大模型(LLMs)除了被单独用作聊天机器人之外,还因为其卓越的通用能力,被人们进一步集成到各种系统里。
安全系统学习
3 天前
安全
·
web安全
·
网络安全
·
渗透测试
·
xss
【网络安全】Mysql注入中锁机制
在sql注入的延时注入中,常见的函数有sleep()直接延时、BENCHMARK()通过让数据库进行大量的计算而达到延时的效果、笛卡尔积、正则匹配等,但还有一个常常被忽略的函数,也就是Mysql中的锁机制。虽然早些年就已经出现过相关的技术文章,但是他的应用却几乎见不到,也没有看到有文章对他的机制和运用进行深入讲解,而且该函数也常常被waf忽略导致延时。
十一082993
5 天前
spring boot
·
pdf
·
xss
【PDF-XSS攻击】springboot项目-上传文件-解决PDF文件XSS攻击
问题:1、pom.xml2、PdfUtils.java3、serviceimpl使用python 生成的xss 空白文件
WHOAMI_老猫
17 天前
javascript
·
渗透测试
·
靶场
·
教程
·
xss
渗透实战:绕过沙箱机制的反射型XSS
依然是留言板的问题可以执行<h1>标签进入修改邮箱的界面,修改抓包这里构造修改邮箱的代码当我们输入 1 时,看到我们输入的内容被放入$scope.query[key]中,因为key='search',这里就是通过访问键值对的方式获取键的值。类似下面的代码
SuperherRo
17 天前
vue.js
·
electron
·
jquery
·
react
·
xss
·
mxss
·
uxss
Web攻防-XSS跨站&浏览器UXSS&突变MXSS&Vue&React&Electron框架&JQuery库&写法和版本
知识点: 1、Web攻防-XSS跨站-浏览器&转换-UXSS&MXSS 2、Web攻防-XSS跨站-框架和库-VUE&React&Electron&JQuery
巴巴_羊
17 天前
前端
·
xss
·
csrf
xss和csrf
网络安全工程师老王
19 天前
网络安全
·
渗透测试
·
xss
DOM型XSS深度渗透实战
本文章所分享内容仅用于网络安全相关的技术讨论和学习,注意,切勿用于违法途径,所有渗透测试都需要获取授权,违者后果自行承担,与本文章及作者无关,请谨记守法。
胆大的
22 天前
xss
·
安全性测试
DOM-Based XSS(基于文档对象模型的跨站脚本攻击)
DOM XSS 是一种发生在浏览器端 JavaScript 中的漏洞,攻击者通过修改页面 URL 参数,使页面的 JS 脚本在未经清洗的情况下处理了恶意内容。
WHOAMI_老猫
24 天前
javascript
·
web安全
·
渗透测试
·
xss
·
漏洞原理
xss注入遇到转义,html编码绕过了解一哈
先正常留言查看返回情况可以看到我们输入的 url 放到了<a></a>中,一个放在href中,一个放到tracker.track()中
枷锁—sha
25 天前
前端
·
web安全
·
网络安全
·
xss
【DVWA系列】——xss(DOM)——High详细教程
本文仅用于技术研究,禁止用于非法用途。 Author:枷锁本文环境Security Level:High
枷锁—sha
1 个月前
前端
·
网络
·
web安全
·
网络安全
·
xss
【DVWA系列】——xss(Reflected)——Medium详细教程
本文仅用于技术研究,禁止用于非法用途。 Author:枷锁在Medium级别中,DVWA添加了基础防护措施但存在明显缺陷:
mooyuan天天
1 个月前
安全
·
web安全
·
xss
·
pikachu靶场
·
xss漏洞
pikachu靶场通关笔记14 XSS关卡10-XSS之js输出(五种方法渗透)
目录一、源码分析1、进入靶场2、代码审计二、渗透实战1、根据提示输入tmac2、XSS探测3、注入Payload1
mooyuan天天
1 个月前
安全
·
xss
·
pikachu靶场
·
xss漏洞
·
xss盲打
pikachu靶场通关笔记10 XSS关卡06-XSS之盲打
目录一、XSS盲打二、源码分析1、进入靶场2、源码分析3、渗透思路三、渗透实战1、探测是否有过滤2、管理员端查看输出
WHOAMI_老猫
1 个月前
前端
·
渗透测试
·
xss
·
angular.js
渗透实战PortSwigger Labs AngularJS DOM XSS利用详解
本Lab学习到关于AngularJS的 xss 漏洞利用 直接输入回显页面,但是把<>进了 html 编码了
DC...
1 个月前
前端
·
xss
XSS跨站脚本攻击
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在目标网站中注入恶意脚本,使这些脚本在其他用户的浏览器中执行。由于恶意脚本通常被浏览器认为是来自可信的来源(即目标网站),攻击者可以利用 XSS 窃取用户数据、劫持会话、伪造用户行为或执行其他恶意操作。
mooyuan天天
1 个月前
安全
·
xss
·
pikachu靶场
·
xss漏洞
pikachu靶场通关笔记12 XSS关卡08-XSS之htmlspecialchars(四种方法渗透)
目录一、htmlspecialchars二、源码分析1、进入靶场2、代码审计3、渗透思路(1)利用单引号绕过
mooyuan天天
1 个月前
web安全
·
xss
·
pikachu靶场
·
xss漏洞
·
xss过滤
pikachu靶场通关笔记11 XSS关卡07-XSS之关键字过滤绕过(三种方法渗透)
目录一、源码分析1、进入靶场2、代码审计3、攻击思路二、渗透实战1、探测过滤信息2、注入Payload1
穗余
1 个月前
前端
·
sql
·
xss
NodeJS全栈开发面试题讲解——P6安全与鉴权
面试官您好,Web 安全三大经典问题分别从不同层面入手:原理:恶意用户将 SQL 注入查询语句拼接,导致数据泄露或破坏。
midsummer_woo
1 个月前
安全
·
web安全
·
xss
五、web安全--XSS漏洞(2)--XSS相关payload
XSS 主要是针对网页客户端的一种攻击,那么就要执行 JavaScript 代码,那么无疑需要用到 JavaScript 语言以及在 HTML 中可以解析 JavaScript 代码的标签。