web安全
baowang666666
这个作者很懒,什么都没留下…
展开
-
htmlEncode 的标签
在html中&lt;和&#60;显示为<;这事html的两种编码方式,在title,iframe,noscript,noframes,plaintext中会对其中的html进行编码,<----&lt;从而他们不会去执行,而在其他标签内,不会进行html编码,innerHTML是编码后,但是value是编码前的,应该是html显示的时候给解析了,今天还了解了h...原创 2013-07-17 17:18:46 · 203 阅读 · 0 评论 -
成功了一次
那个web页面中的编码真蛋疼,今天看了一个分响不错,测试后是成功的,天极网,现在还存在xss漏洞,本来他自身就存在漏洞,但是因为浏览器存在xss过滤器,所以我们无法成功攻入,但是老毛说过 特殊情况特殊分析,//window.location.href = "/searchproduct.action?wd=" // + '你妈的' + "&pageNo=" + num...原创 2013-07-22 11:01:40 · 205 阅读 · 0 评论 -
记录1
在html中:只有在onerror onclick href中才能起到她的作用。通常是10进制和16进制。貌似自解码机制也是在这种时候才起作用。在js中:要在引号中的东西在能用进制编码,通常是8进制和16进制。之前用js绕过过滤器成功了 挺爽的对url,ascii,html编码都要了解。另外 onclick=“javascript:alert(1);-html" 也可以执行的。...原创 2013-07-26 16:50:30 · 109 阅读 · 0 评论 -
python
每天写点python小程序,下面是对一个txt文件的 里面的字数的统计,看的其他人的 file_name="E:\movie.txt" line_counts=0word_counts=0character_counts=0 with open(file_name,"r") as f: for line in f: words=line...原创 2013-07-27 15:36:52 · 129 阅读 · 0 评论 -
内网ip端口检测
今天主要看看了web前端的,可能要做一些路由器相关的东西,先提前看一看web前端解密,做了一些测试html中的image,代码如下: var m=new Image();m.onerror=fucntion(){alert("error"):} m.src="http://192.168.1.2:8080"; 经测试不同的端口,80,8080,1280等各种...原创 2013-08-16 11:10:44 · 1520 阅读 · 0 评论 -
img的一些想法
<html><head> </head><body><img id="s" src="" ></img></body><script>var i;for(i=0;i<100;i++){原创 2013-08-18 21:41:52 · 143 阅读 · 0 评论 -
web前端渗透测试
渗透测试中, 在我们进行http的请求修改的时候,我们应该对其中的一些特殊字符进行注意,例如:如果我们要在数据中加入1.&,=,?等的时候要转换为%26,%3的,%3f。此外说一说空格,空格是用来表示url的结束,我们也得将其编码为%20或者+所以当我们遇见+号的时候,要对其进行编码,编码成%2b;等等,我们要考虑的还有很多。 2.当我们在请求的时候,我们的%00可...原创 2013-08-22 22:31:09 · 555 阅读 · 0 评论