xss

michaelzhouh2 天前
pdf·php·xss·ueditor
php项目ueditor上传pdf文件,防止XSS攻击做渗透测试的时候,ueditor附件上传一个包含javascript代码的pdf文件,直接保存成功。通过浏览器访问这个保存好的文件,会执行javascript代码。被评定为高危漏洞。
wgego4 天前
前端·笔记·xss
做题笔记BUU (XSS-Lab)(1-14)在URL中传递参数name,直接插入JavaScript代码:<script>alert(1)</script>
mooyuan天天5 天前
xss·关键字过滤·ctfhub·xss漏洞
CTFHub XSS通关:XSS-过滤关键词目录一、代码审计1、源码分析2、核心模块(1)用户输入模块(2)内容输出模块(3)Bot模拟器模块(4)状态反馈系统
一袋米扛几楼985 天前
前端·安全·xss
【软件安全】什么是XSS(Cross-Site Scripting,跨站脚本)?EN: XSS (Cross-Site Scripting) is a web vulnerability where an attacker injects untrusted JavaScript into a page so that it runs in other users’ browsers. With the victim’s session, the script can steal cookies/tokens, hijack accounts, deface UI, or pivot
红树林0715 天前
安全·web安全·xss
beef-xss网页无法访问使用命令beef-xss 启动后网页无法访问,查看启动日志,发现Active为failed,按照 beef-xss各位报错解决方案 进行重新安装后还是不行
xixixi7777716 天前
xss·1024程序员节·跨站脚本·主动攻击·被动攻击
怎么区分主动攻击和被动攻击啊,为什么跨站脚本是被动攻击?区分的核心关键在于:攻击行为是否会“改变”数据或“影响”系统的正常运行。您可以把网络通信想象成一次邮政寄信。
骥龙16 天前
前端·xss
2.6、Web漏洞挖掘实战(下):XSS、文件上传与逻辑漏洞深度解析当SQL注入逐渐被重视,攻击者的目光转向了更隐蔽的业务逻辑层。在上一篇文章中,我们探讨了SQL注入、命令注入等技术型漏洞。今天,我们将深入XSS跨站脚本攻击、文件上传漏洞,以及更隐蔽但危害巨大的业务逻辑漏洞。
-曾牛18 天前
前端·网络安全·渗透测试·靶场·xss·攻略·靶场教程
从零到一:XSS靶场 haozi.me 全关卡通关教程(含冷知识汇总)对于刚接触Web安全的新手来说,找一个“纯粹”的XSS练习靶场并不容易——很多靶场依赖抓包改包、URL解码绕过,反而忽略了最核心的代码分析能力和Payload构造逻辑。而「haozi.me XSS靶场」恰好填补了这个空白:它限制输入仅在当前页面完成,浏览器自动URL编码,无法通过外部工具作弊,所有关卡都围绕“理解源码过滤规则+利用HTML/JS特性”展开,还藏了不少冷门但实用的知识点(比如两种HTML注释符、古英文字符绕过),堪称磨练XSS基础的“磨刀石”。
无盐海18 天前
前端·xss
XSS漏洞攻击 (跨站脚本攻击)XSS 攻击(跨站脚本攻击)的核心是: 攻击者通过在网页中注入恶意的 JavaScript 代码,当其他用户浏览该页面时,这段代码会在他们的浏览器中执行。
Forfun_tt18 天前
前端·xss
xss-labs pass-12查看一下源码,发现这里是user_agent的值,那么就和上一关思路一样,抓包修改UA值抓包修改先看一下过滤了什么,输入
网络安全-海哥18 天前
sql·web安全·网络安全·xss·csrf·漏洞挖掘·安全防护
Web安全深度实战:从漏洞原理到防护方案摘要: 本文深入剖析OWASP Top 10常见Web安全漏洞的原理、利用方式及防护方案,通过真实案例和代码演示,帮助开发者构建安全可靠的Web应用系统。
Forfun_tt19 天前
java·前端·xss
xss-labs pass-10先查看一下源码,发现我们输入只插入到了h2标签中,还有三个隐藏的输入框先输入测试语句看一下吧,看看什么情况
小彭律师19 天前
xss·安全性测试·攻防
博客安全攻防演练技术指南在当今数字化时代,博客已成为个人和企业分享信息的重要平台。然而,博客系统常面临各种安全威胁,如SQL注入、跨站脚本(XSS)等攻击。攻防演练通过模拟真实攻击场景,帮助管理员识别漏洞并强化防御。本文将逐步介绍博客安全攻防演练的核心技术,包括常见攻击类型、防御策略及实战代码示例。文章代码部分将突出显示,便于读者快速理解和应用。
Forfun_tt20 天前
网络安全·xss
xss-labs pass-07先查看一下源码,两处回显先看看过滤了哪些字符,输入发现我们传入的Script、Href、oN被转为了小写,然后被删除了,我们可以尝试双写绕过,比如我们输入oonn,当服务端检测到中间的on时,会给删除掉,但是删完还是on
李白你好21 天前
安全·自动化·xss
一个Burp Suite插件,用于自动化检测图片上传功能中的XSS漏洞Burp SVG XSS Upload Scanner,一个Burp Suite插件,用于自动化检测图片上传功能中的XSS漏洞。通过将上传的文件修改为SVG格式并插入XSS Payload来测试漏洞。
故事与他64521 天前
前端·学习方法·xss
XSS_and_Mysql_file靶场攻略https://download.vulnhub.com/pentesterlab/xss_and_mysql_file.iso
爱隐身的官人21 天前
前端·xss
XSS平台xssplatform搭建https://github.com/78778443/xssplatformwindows可以直接在phpstudy(小皮面板)里面搭建【注意文章里面百度网盘的代码有问题,用上面github下载】 https://blog.csdn.net/weixin_52501704/article/details/123590785
w2vmany21 天前
前端·学习·xss
postmessage xss初步学习由于本人现在处于项目上,夜班太无聊,随便翻翻网上博客,发现了玲珑的老师-红尘哥在之前写的postmessage xss文章,就想着学习一下这块知识 原文链接
止观止22 天前
前端·xss
XSS 攻击详解:原理、类型与防范策略XSS 攻击(Cross-Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞。攻击者通过在受信任的网站中注入恶意的客户端脚本(通常是 JavaScript),当其他用户访问该网站时,这些恶意脚本就会在用户的浏览器中执行,从而达到攻击目的。
Moshow郑锴25 天前
spring boot·express·xss
CSP 配置指南:SpringBoot/Express 实操 + 多域名适配,防 XSS 攻击超简单做普通网站开发时,你是不是总担心这些问题?—— 用户遭遇 XSS 攻击导致信息泄露,页面被注入恶意广告脚本,或者非法 CDN 拖慢加载速度?其实一套合理的CSP(内容安全策略) 就能解决!今天从原理到实战,手把手教你给普通网站配 CSP,还附 SpringBoot、Node.js Express 的完整代码,多域名 + 通配符场景直接抄作业~