2017年6月22日
摘要:
对于新手来说,往往会在留言地方插入<script>alert(1)</script>来检测是否有存储xss,事实是基本上不会弹框的,为啥? 通过查看源码,可知道<>标签被实体编码了。 是前端和后端设置了过滤?非也!。 因为有些标签自身具备htmlencode功能,标签有: <textarea> <t 阅读全文
posted @ 2017-06-22 11:15
卡卡洛特
阅读(980)
评论(1)
推荐(0)
摘要:
0x00 背景 本文来自于《Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters》其中的bypass xss过滤的部分,前面有根据WAF特征确定是哪个WAF的测试方法给略过了,重点来看一下后面绕xss的一些 阅读全文
posted @ 2017-06-22 10:59
卡卡洛特
阅读(709)
评论(0)
推荐(0)
摘要:
来自某牛的网站:http://www.cnblogs.com/b1gstar/p/5783848.html Basic and advanced exploits for XSS proofs and attacks. Work in progress, bookmark it. Technique 阅读全文
posted @ 2017-06-22 10:50
卡卡洛特
阅读(387)
评论(0)
推荐(0)
摘要:
理解LDAP与LDAP注入 0x01 LDAP简介 查阅了一些网上的资料,读了好久还是觉得理解起来很困难,感觉还是不够干,之后看到的一个博客http://www.chinaunix.net/old_jh/49/593660.html的,觉得写的相当不错,摘录了些也说说自己的理解吧,有错误的希望大家指 阅读全文
posted @ 2017-06-22 10:37
卡卡洛特
阅读(623)
评论(0)
推荐(0)
摘要:
搜索也是一门艺术 说起Google,可谓无人不知无人不晓,其强大的搜索功能,可以让你在瞬间找到你想要的一切。不过对于普通的用户而言,Google是一个强大的搜索引擎;而对于黑客而言,则可能是一款绝佳的黑客工具。正因为google的检索能力强大,黑客可以构造特殊的关键字语法,使用Google搜索互联网 阅读全文
posted @ 2017-06-22 09:37
卡卡洛特
阅读(2466)
评论(0)
推荐(0)
浙公网安备 33010602011771号