新手上路
文章平均质量分 93
扔出去的回旋镖
真是无力又着迷
展开
-
不许不懂XSS
不许不懂XSS:入门学习者通过自己的方式写的一份xss小结,相信对于和我一样的小白十分友好理解什么是xss:Cross Site Scripting -----> 跨站脚本攻击,为了与前端中的Cascading Style Sheet 层叠样式表做区分,便称它为xss。xss的重点在与执行。当恶意攻击者在web页面中插入而已脚本代码,用户访问该页面,浏览器渲染HTML文档的过程中就会执行嵌入的web页面的代码,达到恶意攻击的目的。常见分类:反射型、存储型、DOM-based型、字符集xs原创 2021-10-14 02:06:47 · 171 阅读 · 0 评论 -
YII链子学习反序列化
YII反序列化链子学习思路:入门学习反序列化的不二选择就是去yii框架中找链子。这也我是总结其他大佬挖的链子做的简单的、略为清晰一点复现尝试第一条:CVE-2020-15148(0day)思路:首先肯定根据一个反序列化的点构造一条链。目前来说,只有__destruct和__wakeup这两个魔术方法可以使用魔术方法__destruct,在对象被销毁前被调用。从系统结构的角度讲,其最常见的场景是关闭某些功能。比如关闭文件流,更新数据等。但从反序列化的角度讲,其特殊的使用场景,代表在这个方法内可能会调原创 2021-10-14 02:04:05 · 745 阅读 · 0 评论