WEB安全 / web-security
從老漏洞到新漏洞 – iMessage 0day(CVE-2016-1843) 挖掘實錄
0x01 前言 注:文章里“0day”在報告給官方后分配漏洞編號:CVE-2016-1843 在前幾天老外發布
XSS
滲透技巧 / pentest-skills
利用HTTP host頭攻擊的技術
一般通用web程序是如果想知道網站域名不是一件簡單的事情,如果用一個固定的URI來作為域名會有各種麻煩。開發人
ShellCode&Poc / shellcode
BadURLScheme in iOS
0x01 前言 這個是今年我在KCON 2016上的演講題目,這個漏洞我最早在今年的4月份報告給了蘋果公司一直
滲透技巧 / pentest-skills
xss其他標簽下的js用法總結大全
前段時間我遇到一個問題,就是說普通的平臺獲取cookie的語句為↓ 實際上我們的測試語句可能為↓ 也就是說js
WEB安全 / web-security
PrettyPhoto(jQuery插件)的DOM型XSS分析
注:為了防止網站本身的過濾不被觸發,所有的敏感字符我都換成了*號 最近看了一篇很有意思的博文 http://w
網絡安全 / safe
Javascript緩存投毒學習與實戰
不久前@三好學生師傅買了一個wooyun wifi,然后聊到了緩存投毒: 然后看到wooyun wifi的這個
滲透技巧 / pentest-skills
XSS現代WAF規則探測及繞過技術
初始測試 1、使用無害的payload,類似<b>,<i>,<u>觀察響應
代碼審計 / fuzzbug
從新浪微博一處Flash XSS到XSS Worm
最近一直在研究一些flash,希望能發現點什么。 偶然發現這樣一個swf:http://vgirl.weibo
滲透實例 / pentest-case
實戰利用XSS漏洞對me.jd.com進行基礎驗證釣魚
這是幾個月前的東西了。當時還在JD實習的時候,可惜發出來沒人重視,推了半天才修改。這里發出來分享給大家。 什么
滲透技巧 / pentest-skills
一種自動化檢測 Flash 中 XSS 方法的探討
0x01 前面的話 對于如何檢測 Flash 中的 XSS,每個人都有自己的方法,無論是使用成型的自動化工具(
WEB安全 / web-security
通用跨站腳本攻擊(UXSS)
大家都知道有反射型XSS、存儲型XSS、DomXSS,還有之前wooyun知識庫上由gainover翻譯的mXSS,也就是突變XSS
滲透技巧 / pentest-skills
以新浪為例淺談XSS
隨著網絡時代的飛速發展,網絡安全問題越來越受大家的關注,而SQL注入的攻擊也隨著各種防注入的出現開始慢慢的離我
WEB安全 / web-security
XSS前端防火墻——天衣無縫的防護
上一篇講解了鉤子程序的攻防實戰,并實現了一套對框架頁的監控方案,將防護作用到所有子頁面。 到目前為止,我們防護
WEB安全 / web-security
XSS前端防火墻——無懈可擊的鉤子
昨天嘗試了一系列的可疑模塊攔截試驗,盡管最終的方案還存在著一些兼容性問題,但大體思路已經明確了: 靜態模塊:使
WEB安全 / web-security
XSS 前端防火墻【2】——可疑模塊攔截
上一篇介紹的系統,雖然能防御簡單的內聯 XSS 代碼,但想繞過還是很容易的。 由于是在前端防護,策略配置都能在
