奥运会网球比分规则|雪缘网网球比分直播|
欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!
  • 使用Sboxr?#36828;?#21457;现和利用DOM(客户端)XSS漏洞
  • 这一?#30423;?#30340;文章将向你展示如何在单页或富JavaScript的应用程序上识别DOM XSS的问题。作为示例,我们将在DOM XSS playground(https://domgo.at)上解决10个练习题目,并为检测到的问题创建?#24605;?#21333;的概念证明漏洞。 这......
  • 所属分类:脚本安全 更新时间:2019-04-24 相关标签: 阅读全文...
  • 使用AutoHotkey和Excel中嵌入的恶意脚本来绕过检测
  • Trend Micro研究人员发现一个使用合法脚本引擎AutoHotkey?#25237;?#24847;脚本文件的攻击活动。该文件以邮件附件的?#38382;?#20256;播,并伪装成合法文件Military Financing.xlsm。用户需要启用宏来完全打开文件,使用AutoHotkey来加载恶......
  • 所属分类:脚本安全 更新时间:2019-04-22 相关标签: 阅读全文...
  • JavaScript 原型链污染
  • 0x01 前言 最近看到一篇原型链污染的文章,自己在这里总结一下 0x02 javascript 原型链 js在ECS6之前没有类的概念,之前的类都是用funtion来声明的。如下 可以看到b在实例化为test对象以后,就可以输出test......
  • 所属分类:脚本安全 更新时间:2019-04-22 相关标签: 阅读全文...
  • Xss漏洞挖掘新姿势,XSS ME的“小秘密”
  • 说到xss漏洞挖掘,我们可以看到网上是这个样子的。 我们会看到有各种xss的文章方便大家了解相关的知识,以及搭建一些?#25945;?#36827;行学习。而我最近在挖洞的时候,掌握了一种新的“姿势”,发现火狐浏览器的一款插件......
  • 所属分类:脚本安全 更新时间:2019-04-19 相关标签: 阅读全文...
  • 测试WAF来学习XSS姿势(三)
  • 前言 今天又换了款waf,因为waf要IIS环境,我发现我是个手残党,一看?#25237;?#25805;作?#22836;希?#25645;建个IIS环境没成功。后来?#20449;?#21451;说我买的服务器有重置系统,那里可以选择ASP/.NET环境,今天搭建好了。 提醒 本文......
  • 所属分类:脚本安全 更新时间:2019-04-17 相关标签: 阅读全文...
  • 蚁剑客户端RCE挖掘过程及源码分析
  • 事情的起因是因为在一次面试中,面试官在提到我的CVE的时候?#30423;?#25105;的CVE质量不高。简历里那几个CVE都是大一水过来的,之后也没有挖CVE更别说高质量的,所?#38405;?#22825;晚上在我寻思对哪个CMS下手挖点高质量CVE的时候,我盯上......
  • 所属分类:脚本安全 更新时间:2019-04-15 相关标签: 阅读全文...
  • 测试WAF来学习XSS姿势(二)
  • 对于我这个?#22235;?#26469;说,我通过谷歌百度学习到很多前辈的资料,甚至每句话都是他的指导,我也很感激前辈的为我们铺设的道路,让我们更快的成长起来。我也乐于分享,可能有些知识点过于单调或者久远,请见谅。 waf ......
  • 所属分类:脚本安全 更新时间:2019-04-15 相关标签: 阅读全文...
  • 深入分析感染各网站的信用卡侧录脚本——Magecart(下)
  • 第2阶段:分析加载器 第2阶段是从一个名为hh的函数开始的。该函数有一个?#38382;?#24182;会通过某?#20013;问?#35745;算其哈希值,以根据输入获得唯一的输出,具体如下所示。 function hh(text) { if (text.length == 0) return 0; ......
  • 所属分类:脚本安全 更新时间:2019-04-10 相关标签: 阅读全文...
  • 值得关注的威胁类别--利用脚本语言解析器过主防
  • 终端安全软件功能可以分为两大部分,一部分是杀毒,另一部分?#20405;?#38450;。主流安全软件几乎都同时包含两?#27490;?#33021;。 杀毒方面10多年前开?#23478;?#32463;有比较多的攻防对抗方式,这里不作过多讨论,本文主要讨论主防。 主防主要作用......
  • 所属分类:脚本安全 更新时间:2019-04-10 相关标签: 阅读全文...
  • 测试WAF来学习XSS姿势
  • 0x00 搭建环境 本地搭建测试waf测试,xss相关防护规则全部开启。 0x01 Self-Xss绕过 测试脚本 $input = @$_REQUEST["xss"]; echo "".$input."" ?> 首先思路就是一些被waf遗漏的标签,暂时不考......
  • 所属分类:脚本安全 更新时间:2019-04-10 相关标签: 阅读全文...
  • 深入分析感染各网站的信用卡侧录脚本——Magecart(上)
  • 2018年年末,包括英国航?#23637;?#21496;网站、新蛋网、使用Feedify的网站以及其他数十家网站在内的数十万名客户遭到了信用卡侧录脚本MageCart的入侵。该脚本的名字来源于电子商务?#25945;∕agento的名称。 客户的个人资料究竟是如......
  • 所属分类:脚本安全 更新时间:2019-04-09 相关标签: 阅读全文...
  • 使用JS绕过同源策略访问内网
  • 研究人员发现一种利用公网?#31995;腏S脚本发起对本地网络的攻击,攻击者使用受害者的浏览器作为代理,使代码可以到达内部主机,并开展监听活动,甚至对?#26032;?#27934;的服务发起攻击。 同源策略是限制不同源的页面进行交互的web ......
  • 所属分类:脚本安全 更新时间:2019-04-06 相关标签: 阅读全文...
  • APT战争中脚本攻击的兵法之道
  • 孙子曰:“兵者,国之大事,死生之地,存亡之道,不可不察?#30149;!本?#31649;处于和平年代,网络世界却硝烟弥漫。请你回答以下360安全大脑提供的自测题,看看你能在这场“战争”中“幸存”吗? 以上问题,如果你有一......
  • 所属分类:脚本安全 更新时间:2019-04-04 相关标签: 阅读全文...
  • FRIDA脚本?#30423;校?#19977;)超神篇:百度AI“调教”抖音AI
  • 0x01. 日本抖音美如画 在万恶的资本主义国家,女孩子普遍都吃不饱,每天也没啥事情干,只能在?#31243;?#19978;晒晒太阳,拍点短视频填充自己空虚的灵魂,在穿着上也是怎么省怎么来,比如布料普遍不会太多,有时候甚至会用......
  • 所属分类:脚本安全 更新时间:2019-03-30 相关标签: 阅读全文...
  • 绕过WAF的XSS检测机制
  • 本文提出了一种定义明确的方法来绕过跨站点脚本(XSS)安全机制,通过发送探针并编写payload用于检测恶意字符串的规则。拟议的方法包括三个阶段:?#33539;╬ayload结构,测试?#31361;?#28102;。 为给定上下文?#33539;?#21508;种payload结构提......
  • 所属分类:脚本安全 更新时间:2019-03-22 相关标签: 阅读全文...
  • Js 一句话下载 Payload
  • windows 全版本都会默?#29616;?#25345;js,并且通过cscript来调用达到下载payload的目的。 [color=rgb]靶机:[/color]windows 2003 [color=rgb]读取:[/color] [color=rgb]C:test>[/color]cscript /nologo downfile.js http......
  • 所属分类:脚本安全 更新时间:2019-03-18 相关标签: 阅读全文...
  • DCOMrade:一款?#27602;貲COM应用漏洞的PowerSHell脚本
  • 今天给大家介绍的是一款名叫DCOMrade的工具(PowerShell脚本),各位研究人员可利用该工具来?#27602;?#23384;在漏洞的DCOM应用程序。 DCOMrade DCOMrade是一款PowerShell脚本,该脚本可?#27602;?#21487;能存在漏洞的DCOM应用程序,广......
  • 所属分类:脚本安全 更新时间:2019-03-17 相关标签: 阅读全文...
  • 如何绕过受限JS沙箱
  • 一、前言 在参与某个漏洞赏金计划时,我发现某个站点的功能非常有趣:该站点允许用户使用可控的表达式来过滤数据。我可以使用类似book.price > 100的表达式来显示价格高于100美元的书籍,使用true为过滤器则显示所有......
  • 所属分类:脚本安全 更新时间:2019-03-07 相关标签: 阅读全文...
  • powershell渗透利用(入门)
  • Powershell简介 PowerShell 是一?#32622;?#20196;?#22411;?#22771;程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能,并且powershell存在于诸多系统中。 Powershell编写脚本 很多人不太了解powershell,包......
  • 所属分类:脚本安全 更新时间:2019-02-26 相关标签: 阅读全文...
  • 客户端脚本安全
  • 客户端安全的基础是同源策略,什么是同源策?#38405;兀?#23601;是限制了不同源的“document”或脚本,对当前“document”读取或者设置属性。有一点需要注意对于当前页面来说页面内存放JS的域并不重要,重要的是加载js页面所在的......
  • 所属分类:脚本安全 更新时间:2019-02-23 相关标签: 阅读全文...
  • 从PowerShell内存中提取取证脚本内容
  • 在发布了?#27934;覲owerShell进程转储中提取活动历史记录》这篇文章后,我收到了一个有趣的问题:“如果没有捕获到原始文件,是否可以提取到已执行的脚本内容呢(从磁盘里)?” 答案是“可以”,但是操作起来很复杂......
  • 所属分类:脚本安全 更新时间:2019-02-02 相关标签: 阅读全文...
  • ?#31243;窮lask cookie与密钥的安全性
  • 一、前言 几星期之前,我和我的一个小伙伴正在讨论web框架,小伙伴声称他构造了一个“绝对无法绕过的”登录表单。征得小伙伴同意后,他把相关代码发给我审阅。 正如我所料,他说的有?#27426;?#36947;理,代码看上去的确非常安......
  • 所属分类:脚本安全 更新时间:2019-02-01 相关标签: 阅读全文...
  • 浅析Java序列化?#22836;?#24207;列化
  • 序列化机制 序列化 (Serialization) ?#20405;?#23558;数据结构或对象状态转换成字节流 (例如存储成文件、内存缓冲,或经由网络传输) ,以留待后续在相同或另一台计算机环境中,能?#25442;指?#23545;象原来状态的过程。序列化机制在J......
  • 所属分类:脚本安全 更新时间:2019-01-15 相关标签: 阅读全文...
  • 结合Oauth的XSS利用技术
  • 一、前言 当面试时被?#23454;健癤SS(Cross Site Scripting,跨站脚本攻击)最大的危害是什么?”,通常大家的回答是:“攻击者可以使用 document.cookie窃取会话令牌”。 从技术层面来讲,虽然这一点?#35270;?#20110;某些应用程序......
  • 所属分类:脚本安全 更新时间:2019-01-10 相关标签: 阅读全文...
  • XSS绕过filter高级技术part1
  • 在如今的web时代,XSS攻击十分常见,针对xss攻击的防御也有不少,Filter就是一种用来防御xss攻击的最常见的手段,filter通常是采用黑名单的?#38382;交?#32773;基于正则表达式来过滤。尽管如此,依然有很多技术可以用来绕过Filt......
  • 所属分类:脚本安全 更新时间:2018-12-25 相关标签: 阅读全文...
  • XSS有长度限制?试试这几招
  • 在某些情况下,你可以执行JavaScript代码,但是却只能使用alert,因为它对字符输入长度做了限制。我最近看了一篇hackerone的报告,情况完全相同,所以我决定写这篇文章。报告作者能够成功执行?#25105;釰avaScript脚本,不......
  • 所属分类:脚本安全 更新时间:2018-12-17 相关标签: 阅读全文...
  • 本类最新更新
    • 本类?#35753;?#25991;章
      • 最新下载
        • 标签云集
        奥运会网球比分规则