欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 揭秘——黑客是如何使用xss的
  • 作者:noneface 链接:https://zhuanlan.zhihu.com/p/22861567 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 0x00 什么是xss 跨站脚本攻击(Cross Site Scripting),为......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • HTTPS 协议降级攻击原理
  • 0x00 HTTPS 在传统流行的web服务中,由于http协议没有对数据包进行加密,导致http协议下的网络包是明文传输,所以只要攻击者拦截到http协议下的数据包,就能直接窥探这些网络包的数据。 HTTPS 协议就是来解决这......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 一种DOM Based XSS自动检测雏形
  • 0x00 DOM Based XSS由于其基于流量隐蔽的特点使很多人在制定检测策略的时候会把它单独提出来。 关于漏洞和自动化检测策略详见参考链接,直奔主题吧,在漏洞挖掘中关于DOM Based的XSS自动化检测,有两个想法。第一是......
  • 所属分类:脚本安全 更新时间:2016-10-16 相关标签: 阅读全文...
  • 通过远程资源注入的xss利用分析
  • 0x1 背景 为了清晰的分析XSS攻击的本质,akamai威胁研究团队通过云安全情报平台研究了一周的XSS跨站脚本攻击。我们的目标是识别脆弱的攻击向量并且使用特殊的技术进行远程资源注入攻击尝试简单的请求。具体来说,我......
  • 所属分类:脚本安全 更新时间:2016-10-11 相关标签: 阅读全文...
  • Content Security Policy 入门教程
  • 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本?这就是"网页安全政策"(Content Secu......
  • 所属分类:脚本安全 更新时间:2016-10-09 相关标签: 阅读全文...
  • 初探XSS
  • 1. 基础准备知识 (1) php: <?php ?>部分由服务器解析后并连带html代码一并返回给浏览器,类似jsp的操作,一般开发中都使用smarty模板将前端后端分开。所以在XSS跨站中,可以使用get参数传值的方式进行XSS攻击 ......
  • 所属分类:脚本安全 更新时间:2016-10-08 相关标签: 阅读全文...
  • 用大白话谈谈XSS与CSRF
  • 这两个关键词也是老生常谈了,但是还总是容易让人忘记与搞混~。 XSS与CSRF这两个关键词时常被拉出来一起比较( 尤其是面试 ),我在这里也在写一篇扫盲文,也帮自己整理一下知识脉络。 这篇文章会用尽量“人话”的......
  • 所属分类:脚本安全 更新时间:2016-10-05 相关标签: 阅读全文...
  • CSRF 详解与攻防实战
  • Cross Site Request Forgery CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF与XSS在攻击手段上有点类似,都是在客户端执行恶......
  • 所属分类:脚本安全 更新时间:2016-09-30 相关标签: 阅读全文...
  • XSS Trap—XSS DNS防护的简单尝试
  • 思路挺新颖的,虽然这种防护有一定的局限性,比如攻击者用IP替代域名就绕过了,但是可以通过文中提及的XSS DNS防护方式了解到企业业务中有哪些WEB服务的XSS点正在被利用,方便排查,而且该防护措施部署上也不是很复杂......
  • 所属分类:脚本安全 更新时间:2016-09-28 相关标签: 阅读全文...
  • mysql 3种注入报错利用方法
  • 1、通过floor报错 可以通过如下一些利用代码 and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a); and (select count(*) from (select 1 u......
  • 所属分类:脚本安全 更新时间:2016-09-23 相关标签: 阅读全文...
  • 4类防御XSS的有效方法
  • 最近在看《白帽子讲Web安全》这本书,对于XSS有了一定的了解。现在对于书中关于防御XSS的4种方法做一些总结与解说。 XSS的本质 XSS事件发生在网站前端,在相关的数据替换到前端页面中时,新旧数据结合,混淆了页......
  • 所属分类:脚本安全 更新时间:2016-09-23 相关标签: 阅读全文...
  • Flash Xss的前世与今生
  • 我是一条分隔线 >..< 1. swf文件的编译与反编译 1.1 编译 我们知道,.swf文件可直接由.as文件编译生成。 编译方案如下: 官网下载Flex sdk cd到bin目录,执行mxmlc xx.as命令 如果有任何的报错,googl......
  • 所属分类:脚本安全 更新时间:2016-09-23 相关标签: 阅读全文...
  • Flask源码学习之意外在Debugger上发现通用XSS
  • 前言 前段时间发现较为鸡肋的洞和当时写的文章。 一个存在于Flask框架Debugger页面上的通用XSS,Werkzeug0.10.10之前版本受影响,已经报告给Flask官方并提交修复代码。官方在确认之后,及时发布了0.10.11。 记......
  • 所属分类:脚本安全 更新时间:2016-09-22 相关标签: 阅读全文...
  • XSS攻击是什么,怎么秒杀iphone钓鱼站
  • 故事说完了,还是要写技术。 偷了我的iphone,开路虎给我送回来。 - 黑客生活 - 知乎专栏 这个文章结尾我说了一句,免费找手机。结果....... 被偷的并收到短信的还真不少,我他妈怎么遇不上这种好事儿。 没办......
  • 所属分类:脚本安全 更新时间:2016-09-21 相关标签: 阅读全文...
  • PHP代码审计:某CMS系统存储XSS(盲打后台)
  • 在源码之家找了个php+access的cms建站系统。 在本地搭建了下。 就去进行黑盒的测试,个人中心可以进行修改资料: 我先进行黑盒的xss测试: 使用这个 payload:<script>alert(1)</script> 插过去,后台并......
  • 所属分类:脚本安全 更新时间:2016-09-19 相关标签: 阅读全文...
  • 写个脚本刷广告群发广告
  • 微信群发祝福脚本!再也不用一个一个点着发了! 微信过中秋节,不能群发有点麻烦,搞个脚本发送一下祝福,还是可以的! 我在mac系统下测试的, 运行环境 python 2.7 先安装 pip,再安装 sudo easy_install pip s......
  • 所属分类:脚本安全 更新时间:2016-09-17 相关标签: 阅读全文...
  • Tomcat 怎样防止跨站请求伪造(CSRF)
  • 对于CSRF,可能一些朋友比较陌生。我们下面先简单介绍下。 什么是CSRF呢,我们看下Wikipedia的说明: Cross-site request forgery,即跨站请求伪造,也称为 "One Click Attach" 或者"Session Riding",常缩写成CS......
  • 所属分类:脚本安全 更新时间:2016-09-17 相关标签: 阅读全文...
  • 2016西安“华山杯” CTF WEB 部分Writeup
  • 0x01 签到题 思路:相信会用微信的你都会解决这道题:) 感谢关注humensec,胡门网络为您精诚服务! 本次CTF竞技赛flag提交格式为:flag_Xd{hSh_ctf:TheKeyYouGet} 本题flag:flag_Xd{hSh_ctf:WelcomeTo2016XiDia......
  • 所属分类:脚本安全 更新时间:2016-09-16 相关标签: 阅读全文...
  • SQL 注入攻防入门详解
  • 毕业开始从事winfrm到今年转到 web ,在码农届已经足足混了快接近3年了,但是对安全方面的知识依旧薄弱,事实上是没机会接触相关开发……必须的各种借口。这几天把sql注入的相关知识整理了下,希望大家多多提意见。......
  • 所属分类:脚本安全 更新时间:2016-09-13 相关标签: 阅读全文...
  • 使用sqli-proxy来挖掘SQL注入漏洞
  • 简介:sqli-proxy是一款代理式注入工具(PS:不支持HTTPS) github: https://github.com/OneSourceCat/sqli-proxy Clone下来后先打开config.py配置一下数据库和服务端IP地址。 改好后安装所需模块,我这里......
  • 所属分类:脚本安全 更新时间:2016-09-12 相关标签: 阅读全文...
  • 渗透测试人员必备技能:实施渗透测试的HTTP方法
  • 如果你没有积极地参与Web应用程序开发,几乎就不可能了解HTTP协议的内部工作机理,也几乎没有机会知道Web应用程序与数据库进行交互的不同方法,也无法真正知道,当用户点击了一个链接或在浏览器的URL中键入字符时......
  • 所属分类:脚本安全 更新时间:2016-09-09 相关标签: 阅读全文...
  • XSS Tricks - 从 SelfXSS 到登录你的账户
  • 07 Sep 2016 - fridayy [+] Author: fridayy [+] Team: n0tr00t security team [+] From: http://www.n0tr00t.com [+] Create: 2016-09-07 0x01 从信息泄露说起 随着 WEB 的不断发展,前端越来越复杂......
  • 所属分类:脚本安全 更新时间:2016-09-09 相关标签: 阅读全文...
  • 实例讲解 target=’_blank’ 安全漏洞
  • 如果你在页面上的超链接a标记上添加了target="_blank"属性,一个非常简单的钓鱼攻击的漏洞很可能就这样打开了。攻击者只需要在他的页面上放置简单的JavaScript代码,就能轻松的控制你的页面的显示。 if (window.op......
  • 所属分类:脚本安全 更新时间:2016-09-07 相关标签: 阅读全文...
  • 贴一个ant脚本的方法
  • 用ant的目的就是编译,打包(jar包),自动生成帮助文档等。用ant首先要下载ant的安装包,完了系统的环境变量里面添加ant_home参数,path里添加ant/bin目录。如果是在eclipse里用的话就不需要了,只要工程目录下编辑一......
  • 所属分类:脚本安全 更新时间:2016-09-06 相关标签: 阅读全文...
  • SQL注入绕过技巧汇总
  • SQL注入的绕过技巧有很多,具体的绕过技巧需要看具体的环境,而且很多的绕过方法需要有一个实际的环境,最好是你在渗透测试的过程中遇到的环境,否则如果仅仅是自己凭空想,那显然是不靠谱的。这篇文章就是总结我在......
  • 所属分类:脚本安全 更新时间:2016-09-05 相关标签: 阅读全文...
  • 记一次SQL注入实战
  • 刚发现漏洞时,我就已经成功实现了注入,因为怕发到网上后被玩坏,一直没有发布。今天去看了看,原网页已经无法访问了,现在发出来应该就没有什么大问题了。 本文仅供学习交流,目的是为了构建更加安全的网络环......
  • 所属分类:脚本安全 更新时间:2016-09-05 相关标签: 阅读全文...
  • XSS蠕虫的构造
  • XSS攻击最大的危害在于可能在一个系统中的用户间互相感染,以致整个系统的用户沦陷。能够造成这种危害的脚本我们称之为XSS蠕虫。 第一部分 XSS攻击最大的危害在于可能在一个系统中的用户间互相感染,以致整个系......
  • 所属分类:脚本安全 更新时间:2016-09-04 相关标签: 阅读全文...
  • 不常见的xss利用探索
  • 反射型xss,相对于持久型xss来说比较鸡肋;需要欺骗用户点击构造好的链接,达到窃取cookie,或是进一步CSRF劫持用户操作的目的。若是get型的xss,javascript代码直接在url中,虽然有些怪异,也好歹能用,愿者上钩。但......
  • 所属分类:脚本安全 更新时间:2016-09-02 相关标签: 阅读全文...
  • 渗透攻防Web篇-SQL注入攻击高级
  • 前言 前面我们学习了如何寻找,确认,利用SQL注入漏洞的技术,本篇文章我将介绍一些更高级的技术,避开过滤,绕开防御。有攻必有防,当然还要来探讨一下SQL注入防御技巧。 目录 第五节 避开过滤方法总结......
  • 所属分类:脚本安全 更新时间:2016-09-02 相关标签: 阅读全文...
  • D-Link NAS, DNS 系列:通过非认证SMB实现存储型XSS
  • 1.前言 D-Link DNS-320是一款NAS网络存储器(http://www.dlink.com/uk/en/support/product/dns-320-2-bay-sharecenter-network-storage-enclosure). 该设备允许用户通过SMB(服务器信息块)访问存储数据,并且可以通......
  • 所属分类:脚本安全 更新时间:2016-08-31 相关标签: 阅读全文...
  • 本类最新更新
    • 本类热门文章
      • 最新下载
        • 标签云集