欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • Pwnhub Web题Classroom题解与分析
  • Pwnhub 是一个面向安全研究人员的CTF对战平台,更官方一点的解释就是一个以各种安全技术为内容的竞赛平台。经过我们团队数个月的酝酿终于上线了。上线伊始,我出了一道Web题目,名字叫Classroom。 0x01 寻找源码 ......
  • 所属分类:脚本安全 更新时间:2016-12-06 相关标签: 阅读全文...
  • 通过反射型 XSS 绕过配合 form-action 绕过 CSP
  • 本文来源:mottoin CSP(Content-Security-Policy)是一个HTTP响应头,该响应头包含了指示浏览器如何限制页面上的内容的指令。 例如,”form-action”指令限制了可以提交的原始表单。CSP form-action指令可以限制页面......
  • 所属分类:脚本安全 更新时间:2016-12-06 相关标签: 阅读全文...
  • 再谈 CSRF 攻击应对之道
  •  关于 CSRF 的攻击防御,网上已经给出了很多答案,我推荐 《CSRF 攻击的应对之道》。文章列举了三种方法,我就其中一种方法——在请求地址中添加 token 并验证,进行了改造,使它更符合我的需求。下面将......
  • 所属分类:脚本安全 更新时间:2016-12-03 相关标签: 阅读全文...
  • CSRF攻击-进击的巨人
  • 计划准备出一个PPT专门讲解CSRF里的各种奇技淫巧,除了那些老套的手法之外: https://github.com/evilcos/papers 我公布的Papers里有个PPT是《CSRF攻击-苏醒的巨人》,可以参考。 还包括以前提的Flash CSRF/......
  • 所属分类:脚本安全 更新时间:2016-12-03 相关标签: 阅读全文...
  • XSS 和 CSRF 两种跨站攻击
  • 差不多刚开始接触前端的时候,经常能看到一些早几年入行大牛们的简历,几乎所有人都会在简历中带上这么一句话:具备基本的 Web 安全知识(XSS / CSRF)。显然这已经成为前端人员的必备知识。 非常怀念那个 SQL 注......
  • 所属分类:脚本安全 更新时间:2016-12-01 相关标签: 阅读全文...
  • 脚本病毒之源码分析
  • 今天学习了一下脚本病毒感染模块的原理,了解感染模块的流程。准备好了吗,跟我一起在回顾一下吧! 脚本(Script)病毒是以脚本程序语言(如VB Script, JavaScript, PHP)编写而成的病毒。实际上,用任何语言都可以编写病......
  • 所属分类:脚本安全 更新时间:2016-12-01 相关标签: 阅读全文...
  • cookies注入漏洞
  • 嘿嘿,我的方法和linzi一样,当然是用cookies提交啦。 我以前写过一篇文章《安全检测时发现的一些漏洞》,其中有一段就是针对的这种情况,我把它摘录过来,希望有用: -- 三、通用防注入原来形同虚设 这是个很大......
  • 所属分类:脚本安全 更新时间:2016-11-16 相关标签: 阅读全文...
  • Cookie窃取攻击
  • Cookie窃取攻击 XSS跨站攻击就是攻击者通过一些正常的站内交互途径(发布文章、添加文章、发送邮件、留言),提交含有恶意JavaScript脚本代码的文本内容。如果服务器端没有过滤这些恶意脚本,反而将其作为网站内容......
  • 所属分类:脚本安全 更新时间:2016-11-13 相关标签: 阅读全文...
  • XSS全解析—初探
  • 前些时间准备面试的时候一直会遇到这个XXS,寥寥几句话好像很简单,后来看到同学的《XSS跨站脚本攻击剖析与防御》这本书,稍微翻看了一下,其中的学问还是挺多的。这系列的文章就当做读书笔记吧。 什么是XXS 听过......
  • 所属分类:脚本安全 更新时间:2016-11-10 相关标签: 阅读全文...
  • Sql注入之sqlmap+dvwa实例演练
  • 相信很多同学都已经知道了什么是sql注入,也明白为什么会发生sql注入。也可以通过在输入框和url中“手工”注入,来实现绕过登录、非法修改这样有趣又实用的功能。但这些还远不能让我们感觉到sql注入的巨大威力。 你......
  • 所属分类:脚本安全 更新时间:2016-10-29 相关标签: 阅读全文...
  • Web安全之XML注入
  • XML注入攻击,和SQL注入的原理一样,都是攻击者输入恶意的代码来执行自身权限以外的功能。 XML是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导致XML注入漏洞。攻击者可以修改......
  • 所属分类:脚本安全 更新时间:2016-10-29 相关标签: 阅读全文...
  • 各种浏览器之间Xss代码执行的差别
  • 0x01: 1 <img onmouseover=alert(1)> 这个payload在chrome or firefox下是执行不了的,解析不出图片,因为没有src属性,而在IE中能解析,图片高度为28,宽......
  • 所属分类:脚本安全 更新时间:2016-10-25 相关标签: 阅读全文...
  • 使用XML内部实体绕过Chrome和IE的XSS过滤
  • 简介 假如你要让Web应用在后台执行某些XML处理任务的话,那么你将很有可能受到XSS攻击(跨站脚本攻击)。我之所以会这样说,是因为安全研究人员发现,攻击者现在可以使用XML内部实体来绕过目前常见浏览器的XSS过滤......
  • 所属分类:脚本安全 更新时间:2016-10-21 相关标签: 阅读全文...
  • 渗透工具之sqlmap
  • 简介 sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。它由python语言开发而成,因此运行需要安装python环境。 常用参数解释 Options(选项) --version 显示程序的版本号并退出......
  • 所属分类:脚本安全 更新时间:2016-10-19 相关标签: 阅读全文...
  • python小脚本-提取邮箱
  • 使用python正则表达式,在一堆各种字符中提取是邮箱名的字符串。 import refile = open("AT.txt")c=[]for line in file.readlines(): contant = re.findall(r"[\w\d\.-_]+(?=\@)",line) mail=list(set(contant)) ......
  • 所属分类:脚本安全 更新时间:2016-10-17 相关标签: 阅读全文...
  • 科普入门xss,附带实战
  • XSS跨站脚本攻击的基本原理和SQL 注入攻击类似(个人观点),都是利用系统执行了未经过滤的危险代码,不同点在于XSS是一种基于网页脚本的注入方式,也就是将脚本攻击载荷写入网页执行以达到对网页客户端访问用户攻击......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 关于SQL注入与避免
  • 什么是SQL注入 SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 揭秘——黑客是如何使用xss的
  • 作者:noneface 链接:https://zhuanlan.zhihu.com/p/22861567 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 0x00 什么是xss 跨站脚本攻击(Cross Site Scripting),为......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • HTTPS 协议降级攻击原理
  • 0x00 HTTPS 在传统流行的web服务中,由于http协议没有对数据包进行加密,导致http协议下的网络包是明文传输,所以只要攻击者拦截到http协议下的数据包,就能直接窥探这些网络包的数据。 HTTPS 协议就是来解决这......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 一种DOM Based XSS自动检测雏形
  • 0x00 DOM Based XSS由于其基于流量隐蔽的特点使很多人在制定检测策略的时候会把它单独提出来。 关于漏洞和自动化检测策略详见参考链接,直奔主题吧,在漏洞挖掘中关于DOM Based的XSS自动化检测,有两个想法。第一是......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 通过远程资源注入的xss利用分析
  • 0x1 背景 为了清晰的分析XSS攻击的本质,akamai威胁研究团队通过云安全情报平台研究了一周的XSS跨站脚本攻击。我们的目标是识别脆弱的攻击向量并且使用特殊的技术进行远程资源注入攻击尝试简单的请求。具体来说,我......
  • 所属分类:脚本安全 更新时间:2016-10-11 相关标签: 阅读全文...
  • Content Security Policy 入门教程
  • 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策"(Content Secu......
  • 所属分类:脚本安全 更新时间:2016-10-09 相关标签: 阅读全文...
  • 初探XSS
  • 1. 基础准备知识 (1) php: <?php ?>部分由服务器解析后并连带html代码一并返回给浏览器,类似jsp的操作,一般开发中都使用smarty模板将前端后端分开。所以在XSS跨站中,可以使用get参数传值的方式进行XSS攻击 ......
  • 所属分类:脚本安全 更新时间:2016-10-08 相关标签: 阅读全文...
  • 用大白话谈谈XSS与CSRF
  • 这两个关键词也是老生常谈了,但是还总是容易让人忘记与搞混~。 XSS与CSRF这两个关键词时常被拉出来一起比较( 尤其是面试 ),我在这里也在写一篇扫盲文,也帮自己整理一下知识脉络。 这篇文章会用尽量“人话”的......
  • 所属分类:脚本安全 更新时间:2016-10-05 相关标签: 阅读全文...
  • CSRF 详解与攻防实战
  • Cross Site Request Forgery CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF与XSS在攻击手段上有点类似,都是在客户端执行恶......
  • 所属分类:脚本安全 更新时间:2016-09-30 相关标签: 阅读全文...
  • XSS Trap—XSS DNS防护的简单尝试
  • 思路挺新颖的,虽然这种防护有一定的局限性,比如攻击者用IP替代域名就绕过了,但是可以通过文中提及的XSS DNS防护方式了解到企业业务中有哪些WEB服务的XSS点正在被利用,方便排查,而且该防护措施部署上也不是很复杂......
  • 所属分类:脚本安全 更新时间:2016-09-28 相关标签: 阅读全文...
  • mysql 3种注入报错利用方法
  • 1、通过floor报错 可以通过如下一些利用代码 and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a); and (select count(*) from (select 1 u......
  • 所属分类:脚本安全 更新时间:2016-09-23 相关标签: 阅读全文...
  • 4类防御XSS的有效方法
  • 最近在看《白帽子讲Web安全》这本书,对于XSS有了一定的了解。现在对于书中关于防御XSS的4种方法做一些总结与解说。 XSS的本质 XSS事件发生在网站前端,在相关的数据替换到前端页面中时,新旧数据结合,混淆了页......
  • 所属分类:脚本安全 更新时间:2016-09-23 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集