编码问题
TJq^Sv47
学生
展开
-
浏览器的自解码机制(用于XSS编码绕过)
1.浏览器大致的工作流程(1)浏览器解析HTML(2)标签转化为DOM节点,识别标签时,HTML解析器无法识别被实体编码的内容,在建立起DOM树,才能对每个节点的内容进行识别(3)JS DOM API(JS解析器)参与,对DOM树进行修改,改变其内容。此时CSS解析器解析外部CSS及style标签,一起构成rendering tree==(4)这里CSS在构造rendering t...原创 2020-03-02 20:43:21 · 842 阅读 · 0 评论 -
SQL注入实战(防注入)-Access
这道题目算是给了SQL注入另外的思路了。一般而言我们测试SQL注入会选择那些有直接显示的地方(比如id=1,name=xxx),但这会局限你的思维,所以一定要多多培养做题的思路才能应对各种情况。下面会给出不一样的思路:1.这是墨者学院一道有waf的sql注入,有很多人遇到有waf的环境就感觉头大,确实绕waf很头疼,但waf也有强弱之分,我们要做的就是测试一下对方服务器的waf做了什么,...原创 2019-09-15 11:34:15 · 342 阅读 · 0 评论