欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • XSS的利用
  • 反射型XSS1.概念 通过社会工程学等手段诱骗用户点击某个精心构造的链接,该链接会将恶意的js代码提交给 有漏洞的服务器网站,并由服务器返回给受害者的客户端执行。 2.POC -<script>alert(‘xss’)</script> -直接......
  • 所属分类:脚本安全 更新时间:2017-06-22 相关标签: 阅读全文...
  • 清理messages日志脚本
  • 要求: 清楚/var/log下messages日志文件的简单命令脚本 要使用root身份来运行这个脚本 清楚日志脚本,版本 #!/bin/bash #清除日志脚本,版本2 LOG_DIR=/var/log ROOT_UID=0 #$UID为0的时候,用户才具有root用......
  • 所属分类:脚本安全 更新时间:2017-06-20 相关标签: 阅读全文...
  • 一款用于发现SSRF、XXE、XSS漏洞的小工具
  • 今天给大家介绍的是运行在我自己Web服务器中的一堆脚本,这些脚本可以帮助我快速检测SSRF、Blind XXS以及XXE漏洞,喜欢的朋友可以将它们部署到自己的环境中。当然了,你们也可以根据自己的需要来自定义修改脚本代码。......
  • 所属分类:脚本安全 更新时间:2017-06-18 相关标签: 阅读全文...
  • 教你如何使用XSS来搞定当下热门的CMS
  • CMS(内容管理系统)不仅具有模块安装功能,而且还允许我们查看到系统管理员之前所发送的全部请求。因此,CMS也就成为了XSS攻击的一种绝佳目标,而且我们还可以轻松地对目标发动CSRF(跨站请求伪造)攻击。 简而言之......
  • 所属分类:脚本安全 更新时间:2017-06-09 相关标签: 阅读全文...
  • XSS跨站脚本攻击
  • 1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。 XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对......
  • 所属分类:脚本安全 更新时间:2017-06-08 相关标签: 阅读全文...
  • 计算机安全漏洞之XSS攻击
  • 1、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制—&md......
  • 所属分类:脚本安全 更新时间:2017-06-05 相关标签: 阅读全文...
  • XSS攻击的原理及解剖
  • 《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码,没有从基础的开始),直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。 我这里就不说什么xss的历史什么东西了,xss是一......
  • 所属分类:脚本安全 更新时间:2017-05-30 相关标签: 阅读全文...
  • 如何用短信完成XSS?
  • Verizon Messages(Message+)是Verizon推出的一款开放跨平台信息交换应用程序,它允许用户在更多的无线设备中交换和共享信息。目前,该软件客户端支持跨平台使用,包括移动设备、桌面设备和Web端,并提升了VZW文字短......
  • 所属分类:脚本安全 更新时间:2017-05-26 相关标签: 阅读全文...
  • 如何用前端防御XSS及建立XSS报警机制
  • 我不否认前端在处理XSS的时候没有后端那样方便快捷,但是很多人都在说过滤XSS的事就交给后端来做吧。前端做没什么用。 我个人是非常反感这句话的。虽然说前端防御XSS比较麻烦,但是,不是一定不行。他只是写的代码比......
  • 所属分类:脚本安全 更新时间:2017-05-08 相关标签: 阅读全文...
  • 如何用前端防御XSS及建立XSS报警机制(三)
  • 前言 大家可以去参考如何用前端防御XSS及建立XSS报警机制的前言,至于觉得前端XSS防御没必要那可能此篇文章的思路和你所认为的有所不同,可以认真看完后,再做评论。谢谢。 一、回顾 我这个项目叫做FECM,在之前的......
  • 所属分类:脚本安全 更新时间:2017-05-08 相关标签: 阅读全文...
  • MySQL False注入及技巧总结
  • 0x01 False Injection 引子 首先我们常见的注入 1=1 0<1 ''='' 这些都是基于1=1这样的值得比较的普通注入,下面来说说关于False注入,利用False我们可以绕过一些特定的WAF以及一些未来不确定的因素,其中有......
  • 所属分类:脚本安全 更新时间:2017-05-05 相关标签: 阅读全文...
  • CSRF攻击与防御
  • 1、简介 CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】) CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是......
  • 所属分类:脚本安全 更新时间:2017-05-02 相关标签: 阅读全文...
  • Edge浏览器上的SOP绕过/UXSS
  • 一、前言 在这篇文章中,我们将探索微软Edge浏览器上的另一种SOP(Same Origin Policy,同源策略)绕过方法。无域化(domainless)页面能够自由访问其他域(domain)的页面,基于这个事实,我们通过滥用data/meta标......
  • 所属分类:脚本安全 更新时间:2017-05-01 相关标签: 阅读全文...
  • XSS利用之延长Session生命周期
  • 1.0 在进入话题之前我们先了解下session与cookie的原理 1.1 session介绍 简单介绍:PHP session 变量用于存储有关用户会话的信息,或更改用户会话的设置。Session 变量保存的信息是单一用户的,并且可供应用程序中......
  • 所属分类:脚本安全 更新时间:2017-04-25 相关标签: 阅读全文...
  • 利用IIS特性简单 Bypass 360主机卫士SQL注入拦截
  • 环境:asp+access+iis 周末有个不知名的小伙伴叫我帮忙绕下waf,看了下有点意思。 先简单看看拦截什么 union select 1,2 拦截 union%0aselect 1,2 拦截 union%0as%u0065lect 1,2 拦截 参数污染 id=86 uni......
  • 所属分类:脚本安全 更新时间:2017-04-18 相关标签: 阅读全文...
  • BCTF 2017 WEB WriteUp
  • 感觉这次比赛的题尤其火日师傅的出的两个出得相当完美,感觉出得非常好,其他题目感觉或多或少都做的有点迷,还是太菜了,总之还是慢慢来,最近事情又堆起来了,慢慢来,回头抽时间吧这段时间的东西慢慢整理下发出来......
  • 所属分类:脚本安全 更新时间:2017-04-18 相关标签: 阅读全文...
  • 当表名可控的注入遇到了Describe时的几种情况
  • 之前小嘎嘎遇到了个注入是表前缀不可控,表名可控的注入, 但是在表名进入的select语句执行之前, 执行了一次SHOW COLUMNS FROM $TABLE。 如果SHOW COLUMNS语句执行出错了的话, 就不会再执行后面的SELECT语句。 大......
  • 所属分类:脚本安全 更新时间:2017-04-17 相关标签: 阅读全文...
  • 浅谈XSS攻击的那些事(附常用绕过姿势)
  • 随着互联网的不断发展,web应用的互动性也越来越强。但正如一个硬币会有两面一样,在用户体验提升的同时安全风险也会跟着有所增加。今天,我们就来讲一讲web渗透中常见的一种攻击方式:XSS攻击。 首先,什么是XSS攻......
  • 所属分类:脚本安全 更新时间:2017-04-12 相关标签: 阅读全文...
  • ASP.NET MVC 页面使用富文本控件的XSS漏洞问题
  • 目前在做的项目存在XSS安全漏洞! 原因是有一些页面使用了富文本编辑框,为了使得其内容可以提交,为相关action设置了 [ValidateInput(false)] 特性: [HttpPost] [ValidateInput(false)] public Actio......
  • 所属分类:脚本安全 更新时间:2017-04-08 相关标签: 阅读全文...
  • 用SQL注入穿IE沙箱
  • 作者: R3dF09 @ 玄武实验室 0x00 前言 每一个安全初学者都喜欢问这样一个问题,“我应该做web安全还是做二进制安全,哪个更有意思?哪个更有钱途?” 二进制安全就只等于反汇编,逆向,调试,内核 ……? Web安......
  • 所属分类:脚本安全 更新时间:2017-04-06 相关标签: 阅读全文...
  • 现代前端框架的信息泄露问题
  • 看到一篇 Source Map 泄露前端源码 的文章,刚好最近水了个篇相关的文章发在内网,就也贴出来分享下吧。 0x00 前言 对 Web 安全有些了解的小伙伴可能知道 XSS 是现在最容易出现的漏洞,而它也是我们日常工作中遇到......
  • 所属分类:脚本安全 更新时间:2017-04-06 相关标签: 阅读全文...
  • XSS攻击与预防
  • 跨站脚本(XSS, Cross Site Script)攻击指的是,攻击者可以让某网站执行一段非法脚本。这种情况很常见,比如提交一个表单用于修改用户名,我们可以在文本框中输入一些特殊字符,比如 < , > , ' , " 等,检查一下......
  • 所属分类:脚本安全 更新时间:2017-04-01 相关标签: 阅读全文...
  • 利用HTML5的CORS特性绕过httpOnly的限制实现XSS会话劫持
  • 有时候我们遇到一个存储型XSS 漏洞,但是sessionId设置了httpOnly,劫持不了会话,显得很鸡肋,让渗透测试人员很蛋疼,不过这种情况正在好转,随着HTML5的流行,通过HTML5 的CORS功能实现跨域通信,建立HTTP tunnel通......
  • 所属分类:脚本安全 更新时间:2017-03-31 相关标签: 阅读全文...
  • 成人网站PornHub跨站脚本(XSS)漏洞挖掘记
  • 当PornHub公布了他们的公开漏洞奖励计划之后,我敢肯定的是该网站之前存在的一些低级漏洞或比较容易发现的漏洞都已经被别人挖出来了。但是当我开始着手挖PornHub的漏洞时,我却在15分钟之内就发现了第一个漏洞,而在......
  • 所属分类:脚本安全 更新时间:2017-03-30 相关标签: 阅读全文...
  • 如何通过SQL注入获取服务器本地文件
  • 写在前面的话 SQL注入可以称得上是最臭名昭著的安全漏洞了,而SQL注入漏洞也已经给整个网络世界造成了巨大的破坏。针对SQL漏洞,研究人员也已经开发出了多种不同的利用技术来实施攻击,包括非法访问存储在远程数据......
  • 所属分类:脚本安全 更新时间:2017-03-29 相关标签: 阅读全文...
  • shell安装进度脚本
  • #!/bin/bash b='' i=0 while [ $i -le 100 ] do printf "Mysql install :[ %-50s ]%d%%\r" $b $i if [ $i -le "60" ] then sleep 0.03 echo; echo "Install httpd" fi sleep 0.01 i=`expr 2 + $......
  • 所属分类:脚本安全 更新时间:2017-03-28 相关标签: 阅读全文...
  • 第一次手工注入
  • 第一次注入: 看到他们黑站感觉很有意思的样子,于是我也玩了一下午,虽然都是些狠狠狠简单的东西,不过还是记录下来啦。 虽然和我现在做的没啥关系,不过,,,挺好 浏览器的 “ 工具 ”——“interne......
  • 所属分类:脚本安全 更新时间:2017-03-26 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集