2019-11-3 读的一些文章笔记

1 RMI-反序列化 

https://xz.aliyun.com/t/6660

主要就讲了下RMI的完整过程,涉及服务端和客户端的demo代码,同时还用wireshark抓了下这个过程的流量

 

2 从一道题到协议层攻击之HTTP请求走私

https://xz.aliyun.com/t/6654#toc-12

之前在burp官网的学习教程看到过,现在基本又忘了,。。)

这玩意主要就用来绕waf。

看这篇文章还是学到一些细节

HTTP 1.1 的pipeline: 客户端可以不等待服务端响应就一直发出请求

HTTP请求走私主要是利用反向代理服务器和后端服务器在Content-Length 和 Transfer-Encoding同时出现或者多次出现时处理方式的不同。

 

3 XSS绕过某盾

https://xz.aliyun.com/t/6652

XSS绕过,测试不常见标签和事件

3.1 不常见标签可以多关注最新的HTML5标签

3.2 不常见事件,通过fuzz

3.3 payload,把payload分成几块逐步去fuzz

几个例子

<video onkeyup=setTimeout`al\x65rt\x28/2/\x29```>

<button onfucus=prompt(1) autofocus>
<select autofocus onfocus=prompt(1)>
 

 

posted @ 2019-11-03 23:39  君莫笑hhhhhh  阅读(152)  评论(0编辑  收藏  举报