欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 巧用JavaScript绕过XSS过滤
  • 在一年一度的AppSec Europe会议上, Sebastian Lekies,Krzysztof Kotowicz和Eduardo Vela Nava三人配合展示了若何利用JavaScript框架来绕过XSS减缓机制。在这篇文章中,我将经由过程Mavo框架对若何绕过XSS减缓机制停......
  • 所属分类:脚本安全 更新时间:2017-09-15 相关标签: 阅读全文...
  • XSS漏洞验证和Cookie利用工具(去除IE浏览器XSS过滤器)
  • XSS漏洞验证和cookie利用工具: 功能1-验证XSS漏洞:发现扫描器扫描出来的xss后,如果在firefox无法弹窗,或在IE浏览器下提示"存在xss风险",可把url输入到当前软件进行验证。功能2-利用cookie漏洞:把获取到的cook......
  • 所属分类:脚本安全 更新时间:2017-08-23 相关标签: 阅读全文...
  • 如何使用CSP Auditor配置高效的内容安全策略
  • 在浏览器与跨站脚本漏洞(XSS)的抗争过程中,内容安全策略(即Content Security Policy,简称CSP)的出现绝对是具有里程碑式意义的。由于内容安全策略的存在,我们能依靠的不仅仅只是浏览器的反XSS过滤器了,我们现......
  • 所属分类:脚本安全 更新时间:2017-08-21 相关标签: 阅读全文...
  • 浏览器安全 / Chrome XSS Auditor bypass
  • Universal Bypass 5 最新版 Chrome 60 context = null test http://mhz.pw/game/xss/xss.php?xss=%3c%62%72%3e%00%00%00%00%00%00%00%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%31%29%3c%2f%73%63%72%69%70%74......
  • 所属分类:脚本安全 更新时间:2017-08-15 相关标签: 阅读全文...
  • 奇淫技巧:看我如何将XSS转化成了RCE
  • 在近期举办于美国拉斯维加斯的2017年BlackHat黑客大会上,安全公司Doyensec的联合创始人Luca Carettoni向全世界公布了他们针对Electron产品安全性的最新研究报告。在对Electron框架的安全模型进行了简单描述之后,我......
  • 所属分类:脚本安全 更新时间:2017-08-10 相关标签: 阅读全文...
  • 每个人都该知道的7种主要的XSS案例
  • “Master the 7 Main XSS Cases and be able to spot more than 90% of XSS vulnerabilities out there.” 这句话说的这么diao,吓得我赶紧早早起来好好学学姿势。 当我们读一些XSS相关资料时,经常能看到像alert(......
  • 所属分类:脚本安全 更新时间:2017-08-09 相关标签: 阅读全文...
  • 利用脚本注入漏洞攻击ReactJS应用程序
  • ReactJS是一款能够帮助开发者构建用户接口的热门JavaScript库。在它的帮助下,开发者可以构建出内容丰富的客户端或Web应用,并且提前加载内容以提供更好的用户体验。 从设计角度来看,只要你能够按照开发标准来使用......
  • 所属分类:脚本安全 更新时间:2017-08-08 相关标签: 阅读全文...
  • 如何使用深度学习检测XSS
  • 一、前言 众所周知,深度学习在计算机视觉、自然语言处理、人工智能等领域取得了极大的进展,在安全领域也开始崭露头角走向了实际应用。本文中进行的实验主要以文本分类的方法,使用深度学习检测XSS攻击,由于本人是......
  • 所属分类:脚本安全 更新时间:2017-08-01 相关标签: 阅读全文...
  • xssfork:一款XSS探测工具
  • xssfork简介 xssfork作为sicklescan的一个功能模块,其开发主要目的是用于检测xss漏洞。 传统的xss探测工具,一般都是采用 payload in response的方式,即在发送一次带有payload的http请求后,通过检测响应包中pay......
  • 所属分类:脚本安全 更新时间:2017-07-27 相关标签: 阅读全文...
  • 通过GNOME Files的缩略图实现VBScript注入
  • 在GNOME Files文件管理器中针对MSI文件的缩略图可以导致执行任意VBScript。我将这个漏洞命名为“Bad Taste”。它的logo是变色的Wine的logo。 0x01 针对用户的补救措施 删除/usr/share/thumbnails下的所有文件......
  • 所属分类:脚本安全 更新时间:2017-07-24 相关标签: 阅读全文...
  • 从javascript脚本混淆说起
  • 脚本病毒是一个一直以来就存在,且长期活跃着的一种与PE病毒完全不同的一类病毒类型,其制作的门槛低、混淆加密方式的千变万化,容易传播、容易躲避检测,不为广大网民熟知等诸多特性,都深深吸引着各色各样的恶意软......
  • 所属分类:脚本安全 更新时间:2017-07-17 相关标签: 阅读全文...
  • 挖洞经验|我如何在Twitter上发现了一个CSP绕过+XSS漏洞
  • 我是一名安全研究人员,也是一名Bug Hunter,但我仍一直在学习。在这篇文章中,我不仅要告诉大家在这样一个如此热门且非常安全的大型网站中找到一个XSS漏洞是有多么的困难,而且我还会跟大家描述我是如何配合另一个C......
  • 所属分类:脚本安全 更新时间:2017-07-13 相关标签: 阅读全文...
  • CSRF防护 Step by Step(亲测版)
  • CSRF(Cross-site request forgecy):跨站请求伪造,是一种常见的网络攻击方式。究竟什么是CSRF以及如何防御呢? 文章目录 CSRF原理 CSRF攻击流程如下图所示: 简而言之,就是攻击者盗用了你的合法身份,并以你......
  • 所属分类:脚本安全 更新时间:2017-07-12 相关标签: 阅读全文...
  • 骚年,看我如何把 PhantomJS 图片的 XSS 升级成 SSRF/LFR
  • 译者: D@先知安全技术社区 原文地址: 《Escalating XSS in PhantomJS Image Rendering to SSRF/Local-File Read》 在一次赏金程序中,我碰见这么一个请求,用户输入然后生成图片供下载。过了一会儿,我便把图片......
  • 所属分类:脚本安全 更新时间:2017-07-09 相关标签: 阅读全文...
  • 我是如何找一个影响数千职业网站的持续型XSS的
  • 我们 Detectify Crowdsource 平台的安全研究员ak1t4最近在他的个人博客中向我们解释了,关于他是如何发现并报告了Teamtailor上一个影响数千职业网站的持续型XSS漏洞的过程,其中也包括了我们Detectify的职业网站。在......
  • 所属分类:脚本安全 更新时间:2017-07-09 相关标签: 阅读全文...
  • 安全隐患,你对X-XSS-Protection头部字段理解可能有误
  • 我曾做过一个调查,看看网友们对关于X-XSS-Protection 字段的设置中,哪一个设置是最差的,调查结果令我非常吃惊,故有此文。 网友们认为 最差的配置是X-XSS-Protection: 0,其次是 X-XSS-Protection: 1; mode=bloc......
  • 所属分类:脚本安全 更新时间:2017-07-06 相关标签: 阅读全文...
  • XSS的利用
  • 反射型XSS1.概念 通过社会工程学等手段诱骗用户点击某个精心构造的链接,该链接会将恶意的js代码提交给 有漏洞的服务器网站,并由服务器返回给受害者的客户端执行。 2.POC -<script>alert(‘xss’)</script> -直接......
  • 所属分类:脚本安全 更新时间:2017-06-22 相关标签: 阅读全文...
  • 清理messages日志脚本
  • 要求: 清楚/var/log下messages日志文件的简单命令脚本 要使用root身份来运行这个脚本 清楚日志脚本,版本 #!/bin/bash #清除日志脚本,版本2 LOG_DIR=/var/log ROOT_UID=0 #$UID为0的时候,用户才具有root用......
  • 所属分类:脚本安全 更新时间:2017-06-20 相关标签: 阅读全文...
  • 一款用于发现SSRF、XXE、XSS漏洞的小工具
  • 今天给大家介绍的是运行在我自己Web服务器中的一堆脚本,这些脚本可以帮助我快速检测SSRF、Blind XXS以及XXE漏洞,喜欢的朋友可以将它们部署到自己的环境中。当然了,你们也可以根据自己的需要来自定义修改脚本代码。......
  • 所属分类:脚本安全 更新时间:2017-06-18 相关标签: 阅读全文...
  • 教你如何使用XSS来搞定当下热门的CMS
  • CMS(内容管理系统)不仅具有模块安装功能,而且还允许我们查看到系统管理员之前所发送的全部请求。因此,CMS也就成为了XSS攻击的一种绝佳目标,而且我们还可以轻松地对目标发动CSRF(跨站请求伪造)攻击。 简而言之......
  • 所属分类:脚本安全 更新时间:2017-06-09 相关标签: 阅读全文...
  • XSS跨站脚本攻击
  • 1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。 XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对......
  • 所属分类:脚本安全 更新时间:2017-06-08 相关标签: 阅读全文...
  • 计算机安全漏洞之XSS攻击
  • 1、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制—&md......
  • 所属分类:脚本安全 更新时间:2017-06-05 相关标签: 阅读全文...
  • XSS攻击的原理及解剖
  • 《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码,没有从基础的开始),直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。 我这里就不说什么xss的历史什么东西了,xss是一......
  • 所属分类:脚本安全 更新时间:2017-05-30 相关标签: 阅读全文...
  • 如何用短信完成XSS?
  • Verizon Messages(Message+)是Verizon推出的一款开放跨平台信息交换应用程序,它允许用户在更多的无线设备中交换和共享信息。目前,该软件客户端支持跨平台使用,包括移动设备、桌面设备和Web端,并提升了VZW文字短......
  • 所属分类:脚本安全 更新时间:2017-05-26 相关标签: 阅读全文...
  • 如何用前端防御XSS及建立XSS报警机制
  • 我不否认前端在处理XSS的时候没有后端那样方便快捷,但是很多人都在说过滤XSS的事就交给后端来做吧。前端做没什么用。 我个人是非常反感这句话的。虽然说前端防御XSS比较麻烦,但是,不是一定不行。他只是写的代码比......
  • 所属分类:脚本安全 更新时间:2017-05-08 相关标签: 阅读全文...
  • 如何用前端防御XSS及建立XSS报警机制(三)
  • 前言 大家可以去参考如何用前端防御XSS及建立XSS报警机制的前言,至于觉得前端XSS防御没必要那可能此篇文章的思路和你所认为的有所不同,可以认真看完后,再做评论。谢谢。 一、回顾 我这个项目叫做FECM,在之前的......
  • 所属分类:脚本安全 更新时间:2017-05-08 相关标签: 阅读全文...
  • MySQL False注入及技巧总结
  • 0x01 False Injection 引子 首先我们常见的注入 1=1 0<1 ''='' 这些都是基于1=1这样的值得比较的普通注入,下面来说说关于False注入,利用False我们可以绕过一些特定的WAF以及一些未来不确定的因素,其中有......
  • 所属分类:脚本安全 更新时间:2017-05-05 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集