欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • Web安全之XML注入
  • XML注入攻击,和SQL注入的原理一样,都是攻击者输入恶意的代码来执行自身权限以外的功能。 XML是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导致XML注入漏洞。攻击者可以修改......
  • 所属分类:脚本安全 更新时间:2016-10-29 相关标签: 阅读全文...
  • 各种浏览器之间Xss代码执行的差别
  • 0x01: 1 <img onmouseover=alert(1)> 这个payload在chrome or firefox下是执行不了的,解析不出图片,因为没有src属性,而在IE中能解析,图片高度为28,宽......
  • 所属分类:脚本安全 更新时间:2016-10-25 相关标签: 阅读全文...
  • 使用XML内部实体绕过Chrome和IE的XSS过滤
  • 简介 假如你要让Web应用在后台执行某些XML处理任务的话,那么你将很有可能受到XSS攻击(跨站脚本攻击)。我之所以会这样说,是因为安全研究人员发现,攻击者现在可以使用XML内部实体来绕过目前常见浏览器的XSS过滤......
  • 所属分类:脚本安全 更新时间:2016-10-21 相关标签: 阅读全文...
  • 渗透工具之sqlmap
  • 简介 sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。它由python语言开发而成,因此运行需要安装python环境。 常用参数解释 Options(选项) --version 显示程序的版本号并退出......
  • 所属分类:脚本安全 更新时间:2016-10-19 相关标签: 阅读全文...
  • python小脚本-提取邮箱
  • 使用python正则表达式,在一堆各种字符中提取是邮箱名的字符串。 import refile = open("AT.txt")c=[]for line in file.readlines(): contant = re.findall(r"[\w\d\.-_]+(?=\@)",line) mail=list(set(contant)) ......
  • 所属分类:脚本安全 更新时间:2016-10-17 相关标签: 阅读全文...
  • 科普入门xss,附带实战
  • XSS跨站脚本攻击的基本原理和SQL 注入攻击类似(个人观点),都是利用系统执行了未经过滤的危险代码,不同点在于XSS是一种基于网页脚本的注入方式,也就是将脚本攻击载荷写入网页执行以达到对网页客户端访问用户攻击......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 关于SQL注入与避免
  • 什么是SQL注入 SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 揭秘——黑客是如何使用xss的
  • 作者:noneface 链接:https://zhuanlan.zhihu.com/p/22861567 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 0x00 什么是xss 跨站脚本攻击(Cross Site Scripting),为......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • HTTPS 协议降级攻击原理
  • 0x00 HTTPS 在传统流行的web服务中,由于http协议没有对数据包进行加密,导致http协议下的网络包是明文传输,所以只要攻击者拦截到http协议下的数据包,就能直接窥探这些网络包的数据。 HTTPS 协议就是来解决这......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 一种DOM Based XSS自动检测雏形
  • 0x00 DOM Based XSS由于其基于流量隐蔽的特点使很多人在制定检测策略的时候会把它单独提出来。 关于漏洞和自动化检测策略详见参考链接,直奔主题吧,在漏洞挖掘中关于DOM Based的XSS自动化检测,有两个想法。第一是......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 通过远程资源注入的xss利用分析
  • 0x1 背景 为了清晰的分析XSS攻击的本质,akamai威胁研究团队通过云安全情报平台研究了一周的XSS跨站脚本攻击。我们的目标是识别脆弱的攻击向量并且使用特殊的技术进行远程资源注入攻击尝试简单的请求。具体来说,我......
  • 所属分类:脚本安全 更新时间:2016-10-11 相关标签: 阅读全文...
  • Content Security Policy 入门教程
  • 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策"(Content Secu......
  • 所属分类:脚本安全 更新时间:2016-10-09 相关标签: 阅读全文...
  • 初探XSS
  • 1. 基础准备知识 (1) php: <?php ?>部分由服务器解析后并连带html代码一并返回给浏览器,类似jsp的操作,一般开发中都使用smarty模板将前端后端分开。所以在XSS跨站中,可以使用get参数传值的方式进行XSS攻击 ......
  • 所属分类:脚本安全 更新时间:2016-10-08 相关标签: 阅读全文...
  • 用大白话谈谈XSS与CSRF
  • 这两个关键词也是老生常谈了,但是还总是容易让人忘记与搞混~。 XSS与CSRF这两个关键词时常被拉出来一起比较( 尤其是面试 ),我在这里也在写一篇扫盲文,也帮自己整理一下知识脉络。 这篇文章会用尽量“人话”的......
  • 所属分类:脚本安全 更新时间:2016-10-05 相关标签: 阅读全文...
  • CSRF 详解与攻防实战
  • Cross Site Request Forgery CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF与XSS在攻击手段上有点类似,都是在客户端执行恶......
  • 所属分类:脚本安全 更新时间:2016-09-30 相关标签: 阅读全文...
  • XSS Trap—XSS DNS防护的简单尝试
  • 思路挺新颖的,虽然这种防护有一定的局限性,比如攻击者用IP替代域名就绕过了,但是可以通过文中提及的XSS DNS防护方式了解到企业业务中有哪些WEB服务的XSS点正在被利用,方便排查,而且该防护措施部署上也不是很复杂......
  • 所属分类:脚本安全 更新时间:2016-09-28 相关标签: 阅读全文...
  • mysql 3种注入报错利用方法
  • 1、通过floor报错 可以通过如下一些利用代码 and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a); and (select count(*) from (select 1 u......
  • 所属分类:脚本安全 更新时间:2016-09-23 相关标签: 阅读全文...
  • 4类防御XSS的有效方法
  • 最近在看《白帽子讲Web安全》这本书,对于XSS有了一定的了解。现在对于书中关于防御XSS的4种方法做一些总结与解说。 XSS的本质 XSS事件发生在网站前端,在相关的数据替换到前端页面中时,新旧数据结合,混淆了页......
  • 所属分类:脚本安全 更新时间:2016-09-23 相关标签: 阅读全文...
  • Flash Xss的前世与今生
  • 我是一条分隔线 >..< 1. swf文件的编译与反编译 1.1 编译 我们知道,.swf文件可直接由.as文件编译生成。 编译方案如下: 官网下载Flex sdk cd到bin目录,执行mxmlc xx.as命令 如果有任何的报错,googl......
  • 所属分类:脚本安全 更新时间:2016-09-23 相关标签: 阅读全文...
  • Flask源码学习之意外在Debugger上发现通用XSS
  • 前言 前段时间发现较为鸡肋的洞和当时写的文章。 一个存在于Flask框架Debugger页面上的通用XSS,Werkzeug0.10.10之前版本受影响,已经报告给Flask官方并提交修复代码。官方在确认之后,及时发布了0.10.11。 记......
  • 所属分类:脚本安全 更新时间:2016-09-22 相关标签: 阅读全文...
  • XSS攻击是什么,怎么秒杀iphone钓鱼站
  • 故事说完了,还是要写技术。 偷了我的iphone,开路虎给我送回来。 - 黑客生活 - 知乎专栏 这个文章结尾我说了一句,免费找手机。结果....... 被偷的并收到短信的还真不少,我他妈怎么遇不上这种好事儿。 没办......
  • 所属分类:脚本安全 更新时间:2016-09-21 相关标签: 阅读全文...
  • PHP代码审计:某CMS系统存储XSS(盲打后台)
  • 在源码之家找了个php+access的cms建站系统。 在本地搭建了下。 就去进行黑盒的测试,个人中心可以进行修改资料: 我先进行黑盒的xss测试: 使用这个 payload:<script>alert(1)</script> 插过去,后台并......
  • 所属分类:脚本安全 更新时间:2016-09-19 相关标签: 阅读全文...
  • 写个脚本刷广告群发广告
  • 微信群发祝福脚本!再也不用一个一个点着发了! 微信过中秋节,不能群发有点麻烦,搞个脚本发送一下祝福,还是可以的! 我在mac系统下测试的, 运行环境 python 2.7 先安装 pip,再安装 sudo easy_install pip s......
  • 所属分类:脚本安全 更新时间:2016-09-17 相关标签: 阅读全文...
  • Tomcat 怎样防止跨站请求伪造(CSRF)
  • 对于CSRF,可能一些朋友比较陌生。我们下面先简单介绍下。 什么是CSRF呢,我们看下Wikipedia的说明: Cross-site request forgery,即跨站请求伪造,也称为 "One Click Attach" 或者"Session Riding",常缩写成CS......
  • 所属分类:脚本安全 更新时间:2016-09-17 相关标签: 阅读全文...
  • 2016西安“华山杯” CTF WEB 部分Writeup
  • 0x01 签到题 思路:相信会用微信的你都会解决这道题:) 感谢关注humensec,胡门网络为您精诚服务! 本次CTF竞技赛flag提交格式为:flag_Xd{hSh_ctf:TheKeyYouGet} 本题flag:flag_Xd{hSh_ctf:WelcomeTo2016XiDia......
  • 所属分类:脚本安全 更新时间:2016-09-16 相关标签: 阅读全文...
  • SQL 注入攻防入门详解
  • 毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机会接触相关开发……必须的各种借口。这几天把sql注入的相关知识整理了下,希望大家多多提意见。......
  • 所属分类:脚本安全 更新时间:2016-09-13 相关标签: 阅读全文...
  • 使用sqli-proxy来挖掘SQL注入漏洞
  • 简介:sqli-proxy是一款代理式注入工具(PS:不支持HTTPS) github: https://github.com/OneSourceCat/sqli-proxy Clone下来后先打开config.py配置一下数据库和服务端IP地址。 改好后安装所需模块,我这里......
  • 所属分类:脚本安全 更新时间:2016-09-12 相关标签: 阅读全文...
  • 渗透测试人员必备技能:实施渗透测试的HTTP方法
  • 如果你没有积极地参与Web应用程序开发,几乎就不可能了解HTTP协议的内部工作机理,也几乎没有机会知道Web应用程序与数据库进行交互的不同方法,也无法真正知道,当用户点击了一个链接或在浏览器的URL中键入字符时......
  • 所属分类:脚本安全 更新时间:2016-09-09 相关标签: 阅读全文...
  • XSS Tricks - 从 SelfXSS 到登录你的账户
  • 07 Sep 2016 - fridayy [+] Author: fridayy [+] Team: n0tr00t security team [+] From: http://www.n0tr00t.com [+] Create: 2016-09-07 0x01 从信息泄露说起 随着 WEB 的不断发展,前端越来越复杂......
  • 所属分类:脚本安全 更新时间:2016-09-09 相关标签: 阅读全文...
  • 实例讲解 target=’_blank’ 安全漏洞
  • 如果你在页面上的超链接a标记上添加了target="_blank"属性,一个非常简单的钓鱼攻击的漏洞很可能就这样打开了。攻击者只需要在他的页面上放置简单的JavaScript代码,就能轻松的控制你的页面的显示。 if (window.op......
  • 所属分类:脚本安全 更新时间:2016-09-07 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集