随笔分类 -  XSS漏洞

摘要：0x00前言 我们友情进行XSS检查，偶然跳出个小弹窗，其中我们总结了一些平时可能用到的XSS插入方式，方便我们以后进行快速检查，也提供了一定的思路，其中XSS有反射、存储、DOM这三类，至于具体每个类别的异同之处，本文不做学术介绍，直接介绍实际的插入方式。 0x01 常规插入及其绕过 1 Scri 阅读全文

摘要：大家都知道，普遍的防御XSS攻击的方法是在后台对以下字符进行转义：<、>、’、”，但是经过本人的研究发现，在一些特殊场景下，即使对以上字符进行了转义，还是可以执行XSS攻击的。 首先看一个JS的例子： Default 1 2 3 4 <script> var s = "u003cu003e"; al 阅读全文

摘要：Xss Bypass备忘录 技术要发展,免不了风波. 也许这些攻攻防防会更好的促进技术的发展也说不定 就让这一次次的爆破换来将来更精练的技术的无比的宁静吧 我们静观其变吧！ 缅怀当初那份最纯真Hacker精神!! 2017.深圳 By:Legend 译文源起 翻译本文最初源自国内在对2014年老道翻 阅读全文

摘要：在个人空间的我的收藏中可编辑视频收藏的名称，之后尝试写入标签。 http://space.bilibili.com/ 发现输出到前端的尖括号被转义了，不过出现了一个json接口，他的Content-Type是html，打开看下内容 http://space.bilibili.com/ajax/fav 阅读全文

摘要：一、什么是XSS? XSS全称是Cross Site Scripting即跨站脚本，当目标网站目标用户浏览器渲染HTML文档的过程中，出现了不被预期的脚本指令并执行时，XSS就发生了。 这里我们主要注意四点：1、目标网站目标用户；2、浏览器；3、不被预期；4、脚本。 二、XSS有什么危害？ 当我们知 阅读全文

摘要：The most common type of XSS (Cross-Site Scripting) is source-based. It means that injected JavaScript code comes from server side to execute in client 阅读全文

摘要：A file upload is a great opportunity to XSS an application. User restricted area with an uploaded profile picture is everywhere, providing more chance 阅读全文