渗透测试
yib0y
将代码写成诗,让安全融入呼吸
展开
-
XSS绕过总结第一种什么过滤都没有
第一节什么都没过滤的入门情况 1.XSS的存在,一定是伴随着输入,与输出2个概念的。 2.要想过滤掉XSS,你可以在输入层面过滤,也可以在输出层面过滤。 3.如果输入和输出都没过滤。那么漏洞将是显而易见的。 4.作为第一个最基础的例子,我们拿出的是一个什么都没过滤(其实还是有些转义的,主要没过滤<,>)的例子。这种例子出现在腾讯这种大网站的概率不是很高。但是还是让我找到了一个。 5. ...原创 2018-10-07 10:17:13 · 278 阅读 · 0 评论 -
XSS绕过总结第二节
输出在 5.如果过滤了<,>,那么就无法使用上面的办法了。我们接着看 script代码里的构造。 友情提示:这里可能需要一点点javascript的知识才行哦~~ 我们可以如下构造: http://activity.soso.com/common/setParentsInfo.php?callback=eval('alert(1)’);void 6.可以看到,源代码是下面的样子。 7...原创 2018-10-07 10:24:08 · 225 阅读 · 0 评论 -
如何让测试人员干安全的基础测试工作?
我是一个不喜欢机械化的工作的人。比如渗透测试的一些基础工作挖XSS漏洞,一天两天还行,可要是每周若干项目上线而我们安全却要苦逼的频繁的给这些系统做安全渗透工作,有新奇的手法值得好好研究,不然我是非常不愿意的。没耐性。所有我更愿意做安全开发的工作,有一天领导说我们要把一些基础的安全测试工作交给测试同学去做,我们去做更有价值的事情,这个时候我觉得非常和我的思想相吻合。 我觉得这也是安全测试的一个主流方...原创 2018-10-31 10:35:58 · 346 阅读 · 0 评论 -
python django 一个完整的简单的 jquery DataTable 的demo
首先是前端代码吧: &lt;script src="/static/jquery.min.js" type="text/javascript"&gt;&lt;/script&gt; &lt;script src="/static/jquery.dataTables.min.js" type="text原创 2018-11-12 22:01:52 · 1487 阅读 · 0 评论