XSS
bylfsj
这个作者很懒,什么都没留下…
展开
-
xss之同源策略与跨域访问
同源策略:同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制有特殊意义。客户端...转载 2019-11-05 15:55:03 · 865 阅读 · 0 评论 -
基于Gadgets绕过XSS防御机制
<p></p><p>这篇文章是之前对CCS 2018 <code>Code-Reuse Attacks for the Web Breaking Cross-Site Scripting Mitigations via Script Gadgets</code> 的阅读笔记,最近整理资料发现放了挺久,于是...转载 2019-10-31 15:45:52 · 620 阅读 · 0 评论 -
浏览器同源策略及Cookie的作用域
如题,本文主要介绍两方面内容:首先简单介绍浏览器的同源策略与其带来的问题;其次,介绍Cookie的作用域,即Cookie与Domain(域名)的上传关系,即浏览器在什么时候提交什么Cookie到服务器,即浏览器是通过怎样的规则筛选Cookie并提交到服务器的。一、 浏览器同源策略1.1  ...转载 2019-10-31 14:48:13 · 295 阅读 · 0 评论 -
Flash XSS漏洞快速上手
Flash XSS漏洞快速上手 0x01 Flash XSS xss一是指执行恶意js,那么为什么说flash xss呢?是因为flash有可以调用js的函数,也就是可以和js通信,因此这些函数如果使用不当就会造成xss。常见的可触发xss的危险函数有:getURL,navigate...转载 2019-10-12 20:55:54 · 460 阅读 · 0 评论 -
Flash安全总结
Flash安全总结ActionScriptAS是基于ECMAScript的语言,为了交互的需要flash应用引入ActionScript。ActionScript一共有三个版本,其中3.0较之前两个版本变化很大。ActionScript 代码可用来向文档中的媒体元素添加交互式内容。例如,可以添加代码以便用...转载 2019-10-12 19:57:41 · 323 阅读 · 0 评论 -
XSS过滤
XSS Bypass:脚本标签:<object data=”data:text/html,<script>alert(1)</script>”><object data=”data:text/html;base64,Jmx0O3NjcmlwdCZndDthbGVydCgxKSZsdDsvc2NyaXB0Jmd0Ow==”><a h...转载 2019-09-26 20:42:00 · 535 阅读 · 0 评论 -
XSS--------绕过SOP
摘要如今的WEB标准纷繁复杂,在浏览稍大一些的网站时,细心的人会发现网页上呈现的内容...转载 2019-09-18 21:59:58 · 1033 阅读 · 0 评论 -
XSS
1.DOM型1.1DOM型XSS的防御方法:DOM型XSS主要是由客户端的脚本通过DOM动态地输出数据到页面而不是依赖于将数据提交给服务器端,而从客户端获得DOM中的数据在本地执行,因而仅从服务器端是无法防御的。其防御在于:(1) 避免客户端文档重写、重定向或其他敏感操作,同时避免使用客户端数据,这些操作尽量在服务器端使用动态页面来实现;(2) 分析和强化客户端JS代码,特别是受到用户影...转载 2019-09-18 16:20:02 · 273 阅读 · 0 评论 -
XSS实战演练2
1.多个文本框第三关a.攻击思路发现p1被完全过滤,考虑抓包修改P2b.攻击代码发现p2并没有过滤,攻击成功。2.多个文本框----隐藏参数a.攻击思路b.攻击代码抓包修改p3c.攻击结果3.字符长度受限a.服务端思路b.攻击代码审查修改为150"onmouseover=alert(document.domain)//c攻击结果4.输入转义<...原创 2019-09-14 20:54:07 · 428 阅读 · 0 评论 -
xss实战-------要点记录
1.htmlentities() 只对html标签做字符转化,对html里的英文字母不做转换,但是对汉字会做转换!------------乱码区别2.htmlspecialchars() ‘单引号考虑未转义原创 2019-09-13 22:32:51 · 905 阅读 · 0 评论 -
XSS攻击方法总结
参考链接https://blog.csdn.net/qq_29277155/article/details/51320064 List item转载 2019-09-12 19:04:38 · 3427 阅读 · 0 评论 -
XSS----一些方法
参考https://blog.csdn.net/qq_29277155/article/details/513200641.标签绕过<anytag οnmοuseοver=alert(15)>M<anytag οnclick=alert(16)>M<a οnmοuseοver=alert(17)>M<a οnclick=al...原创 2019-09-11 23:43:56 · 1200 阅读 · 0 评论