标签:XSS攻击

Spring

Guns-后台管理系统

1

yanxinchi 发布于 2017-10-12

Guns基于SpringBoot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl!Guns项目代码简洁,注释丰富,上手容易,同时Guns包含许多基础模块(用户管理,角色管理,部门管理,字典管理等10个模块),...

阅读(84)评论(0)赞 (0)

编程技术

【技术分享】MySQL带外攻击(含演示视频)

13

wenming.gapo 发布于 2017-02-06

翻译: Brexit 预估稿费:180RMB 投稿方式:发送邮件至 linwei#360.cn ,或登陆网页版在线投稿 概述 关于MSSQL和Oracle带外注入方面的研究已经很多了,不过我发现MySQL注入的研究情况并非如此。于是我萌生了根据自己在SQL注入方面的经验做相关研究...

阅读(147)评论(0)赞 (0)

编程技术

看我如何利用漏洞窃取麦当劳网站注册用户密码

17

xubiao.zhuang 发布于 2017-01-18

本文讲述了利用不安全的加密存储(Insecure_Cryptographic_Storage)漏洞和服务端反射型XSS漏洞,实现对麦当劳网站( McDonalds.com) 注册用户的密码窃取,进一步测试,还可能获取到网站注册用户的更多信息。 POC-利用反射型XSS漏洞绕过An...

阅读(57)评论(0)赞 (0)

编程技术

Snuck:一款自动化XSS漏洞扫描工具(含下载)

4

Harries 发布于 2017-01-12

工具简介【 下载地址 】 snuck是一款自动化的漏洞扫描工具,它可以帮助你扫描Web应用中存在的XSS漏洞。snuck基于Selenium开发,并且支持Firefox、Chrome和IE浏览器。 snuck与传统的Web安全扫描工具有显著的区别,它会尝试利用特殊的注入向量来破坏...

阅读(113)评论(0)赞 (0)

编程技术

Node.js几道面试题

dulong 发布于 2017-01-07

一些声明 通过这些问题就来判断一个人的Node.js水平是不太严谨的,但是 它能让你对面试者在Node.js上的经验如何有个大概的了解。 但是显然,这些问题并不会告诉你面试者思考问题的方式。 Show me the code. 结合一些编程题来考察面试者吧 大家都是人,不要做一个...

阅读(45)评论(0)赞 (0)

编程技术

防火防盗反钓鱼,2016年全球网络钓鱼总汇概览

32

尖兵 发布于 2016-12-14

一、前言 1.1 “邮件门” 美国大选已经告一段落,特朗普干翻希拉里成功入主白宫。希拉里的落败原因有很多,但有一点我们还是不得不提,那就是沸沸扬扬的“邮件门”事件。 “邮件门”这件事比较复杂,辣条君只能简单地讲一讲。大抵就是希拉里竞选团队的负责人波斯得塔的邮件被黑,导致很多邮件泄...

阅读(91)评论(0)赞 (0)

编程技术

HTML应用安全

zhuangli 发布于 2016-12-04

HTML应用安全 通常,我们使用HTML来创建交互网站,我们不能保证网络上每一个用户都是正直,友好的,为了大部分友好用户的体验和安全,我们需要关注网站的脆弱性,防止攻击者通过这些弱点进行攻击,窃取用户信息。本篇关注应用程序的安全性及应用程序开发过程中易犯的错误,主要介绍跨站脚本(...

阅读(41)评论(0)赞 (0)

编程技术

[聊一聊系列]聊一聊WEB前端安全那些事儿

26

Harries 发布于 2016-08-22

欢迎大家收看聊一聊系列,这一套系列文章,可以帮助前端工程师们了解前端的方方面面(不仅仅是代码): https://segmentfault.com/blog… 随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题...

阅读(264)评论(0)赞 (0)

编程技术

驱散前端安全梦魇——DOMXSS典型场景分析与修复指南

25

changyuan.xu 发布于 2016-08-16

0x00 背景 DOM-Based XSS是一种基于文档对象模型(Document Object Model,DOM)的Web前端漏洞,简单来说就是JavaScript代码缺陷造成的漏洞。与普通XSS不同的是,DOM XSS是在浏览器的解析中改变页面DOM树,且恶意代码并不在返回...

阅读(55)评论(0)赞 (0)

编程技术

新型XSS总结两则

3

小丁 发布于 2016-06-30

0x00 简介 近期看到了两种XSS攻击手法:一种是利用JSONP和serviceWorkers的持久性XSS,一种是移动设备中的XSS,学习后总结一下,同时也请高手多多指点。 0x01 基于JSONP和serviceWorkers的持久性XSS 对于Web攻击者来说,通常都渴望...

阅读(32)评论(0)赞 (0)

编程技术

React的一些概念

3

songhua.gao 发布于 2016-05-28

对于初学React的同学而言,这并不是一件易事。就拿我自己来说,都不知道从何下手,应该如何去学习才能开始使用React。就算你对React不陌生,学习React也常会碰到一些瓶颈。比如说新颖的概念、开发工具的使用、抽象的名词、快速变化的生态环境等等。也就是说,一旦开始学习Reac...

阅读(61)评论(0)赞 (0)

编程技术

新手教程:如何利用CSRF执行XSS攻击

xubiao.zhuang 发布于 2016-05-21

我将拿出最近发生的一个例子,讲解如何将一些低级别的风险连接起来形成一个向量,然后达到攻击的目的。 背景介绍 首先介绍背景条件,我发现一个网站的用户资料页面上有一个持久性XSS漏洞。然而只能是用户修改自己的用户名,针对自己触发XSS。其它用户都不能遇到这个XSS攻击。 看起来难以利...

阅读(56)评论(0)赞 (0)

编程技术

绕过XSS filters的几种方法

2

dulong 发布于 2016-05-18

XSS跨站脚本攻击是指,黑客向一个页面中注入Javascript脚本,其它的用户访问该页面时会执行这个脚本。为了防止这一攻击,一些软件尝试从输入中移除Javascript代码。这很难正确实现。在这篇文章中我会展示一些试图移除输入里的Javascript脚本的代码,并演示几中绕过它...

阅读(47)评论(0)赞 (0)

编程技术

邪恶的CSRF

27

Harries 发布于 2016-05-11

0x00 什么是CSRF CSRF全称Cross Site Request Forgery,即跨站点请求伪造。我们知道,攻击时常常伴随着各种各样的请求,而攻击的发生也是由各种请求造成的。 从前面这个名字里我们可以关注到两个点:一个是“跨站点”,另一个是“伪造”。前者说明了CSRF...

阅读(117)评论(0)赞 (0)

编程技术

WordPress 4.5.1 XSS

xubiao.zhuang 发布于 2016-05-10

一般来说, 开源CMS所使用的Flash文件也都来自其他的开源项目, 所以直接获取WordPress所使用的SWF文件的actionscript源码并不是一件困难的事情. 以本次漏洞的目标文件 wp-includes/js/mediaelement/flashmediaeleme...

阅读(48)评论(0)赞 (0)

编程技术

Bypassing XSS Auditor – Translate

3

尖兵 发布于 2016-05-10

10 May 2016 – fridayy [+] Author: fridayy [+] Team: n0tr00t security team [+] From: http://www.n0tr00t.com [+] Create: 2016-05-10 文章翻译...

阅读(45)评论(0)赞 (0)

编程技术

FB公开课后记:如何XSS自动化入侵内网

23

zhuangli 发布于 2016-04-29

本文原创作者: Black-Hole 刚刚结束的FreeBuf公开课大家是否意犹未尽或者有地方没听懂?来这里继续看看吧。 0×01 前言 很多人都认为XSS只能做盗取cookies的活。以至于有些SRC、厂商对待反射型XSS视而不见,或者说是根本不重视。直到“黑哥”在...

阅读(67)评论(0)赞 (0)

编程技术

物联网的一种参考架构

17

wenming.gapo 发布于 2016-04-14

本文是两篇系列文章中的第一篇,我们在将这一系列文章中首先从一个抽象的角度了解IoT的参考架构,然后分析具体的架构与所选择的用例的实现。第一篇文章将涵盖更具体与完整的架构中的各种定义,而第二篇文章将通过实际的用例应用这种架构。 我们正处在一个崭新的互联世界的入口,处于“物联网”(I...

阅读(39)评论(0)赞 (0)