前段时间在学习各位大佬的文章的时候，遇到了一个XSS的payload，根据文章的表述可以得知该payload是经过UTF-8编码的。解码后地道初始payload,然并卵，还是看不懂。UTF-8 编码后的payload原始payload神奇的javascriptJavaScript 试图帮助我们将一些数据类型转化为我们所认为的数据类型，例如我们定义一个字符串常量，它会假设我们希望添加的是文本形式，所以 JavaScript 会把它转化为字符串类型。javascript中有一些的特殊的符号，可以用来干扰我

github基础搜索语法利用以下语法，通过合理的排列组合，来搜索特定内容仓库搜索按照仓库、说明或者自诉文件内容进行搜索通过限定符in限制在某一方面搜索，条件是可以共同使用的，可以提高精确度jquery in:name //搜索名称中存在jquery的仓库jquery in:description //说明中存在jquery的仓库jquery in:readme //自诉文件中存在jquery的仓库repo:owner/name //匹配特定仓库名组织名和用户名org:iqiyi

感觉自己的知识原来越杂乱，慢慢的进行整理一下，对以往知识进行梳理，才能更好的前进。信息收集信息收集的广度在决定了攻击面的大小，因此要尽可能的收集更多的信息，便于发现漏洞拿下系统权限，在红队信息收集的过程中，与日常挖掘src时进行信息收集的区别并不大，不过日常渗透测试注重于漏洞的发掘，在HW时对拿下系统权限十分看重，因此信息收集时的侧重应当有所不同。域名信息收集给定目标后，要对目标公司的网站进行收集1、可以使用天眼查之类的平台进行查询，历史网站备案的域名有时候也是好东西。2、备案查询感觉也