标签:XSS漏洞

XSS的另一种利用思路
综合技术

XSS的另一种利用思路

04月18日

前言 安全测试人员在测试XSS漏洞的时候,用得最多的方式是利用XSS钓鱼攻击、盗取会话凭证,挟持会话。当然还有很多其他利用方式,但是却很少涉及内网渗透环节。换一种思路,XSS还可以...
从PNG tEXt到存储型XSS
综合技术

从PNG tEXt到存储型XSS

04月17日

最近在对某客户的站点做测试时我遇到了一些麻烦。在对许多上传点测试后我发现这些上传点都有着非常严格的文件过滤机制只接受扩展名为.PNG的文件。但就在我一筹莫展时我发现了一个上...
关注程序异常流
前端开发

关注程序异常流

04月01日

想分享这个主题很久了,前些天和好朋友聊天的时候也提到过,我觉得新手最像新手的地方就在于新手考虑事情总是不够全面,这体现在很多方面,比如设计上、技术选型上等等。今天我想分享给大家的是...
ezXSS:一款功能强大的XSS盲测工具
综合技术

ezXSS:一款功能强大的XSS盲测工具

03月31日

今天给大家介绍的是一款名叫ezXSS的漏洞测试工具,该工具可以轻松地帮助渗透测试人员完成Blind XSS漏洞的扫描任务。 功能介绍 ezXSS当前所支持的全部功能如下: 1...
深入剖析RPO漏洞
前端开发

深入剖析RPO漏洞

03月26日

本文由 D0g3安全小组 ,@Ph0rse编写。 简介 通过这次强网杯,见识到了RPO这种漏洞,也是在畅师傅的指导下,学习了一波,写篇文章记录一下~ PRO的全称为“Relat...
鸡肋CSRF和Self-XSS组合的变废为宝
综合技术

鸡肋CSRF和Self-XSS组合的变废为宝

03月09日

*本文原创作者:三只小潴,本文属FreeBuf原创奖励计划,未经许可禁止转载 昨天同事问了我一个问题:登录页面的CSRF有用么? 我也没怎么想,就回了句:没用。而事实上一...
Web黑盒渗透思路之猜想
综合技术

Web黑盒渗透思路之猜想

02月09日

场景:WEB后台爆破 后台爆破很多人都会选择最经典的模式,如字典爆破,挖掘未授权访问漏洞,挖掘验证码漏洞(未刷新,验证码识别)等方法。 猜想: 1、后台程序是采用MD5加密的方式,...
WEB访问日志自动化分析浅谈
综合技术

WEB访问日志自动化分析浅谈

02月02日

*本文原创作者:0xExploit,属于FreeBuf原创奖励计划,禁止转载 1.概况 最近经常需要分析WEB访问日志,从中发现非法请求,然后做相应安全检查,为了方便,所以写了...

专业 x 专注 x 聚合 x 分享 CC BY-NC-SA 4.0

使用声明 | 英豪名录