- 博客(4)
- 收藏
- 关注
原创 XSS防御
JWT(JSON Web Token)是一种基于JSON格式的Web令牌,用于在应用程序和服务之间传递信息,它是一种轻量级、可靠的身份验证和授权机制,常用于RESTful API和单点登录(SSO)系统中。Header:包含令牌类型和使用的加密算法等信息Payload:也称为Claims,包含一些声明,用于描述身份信息、权限等内容。常见的声明有iss(签发者)、exp(过期时间)、sub(主题)和aud(受众)等。Signature:由前两部分使用加密算法生成的签名,用于验证令牌的合法性。
2024-05-09 09:56:06
383
原创 XSS-labs靶场通关
首先说一下embed标签,可以理解为定义了一个区域,可以把html文档、图片、视频、音频等内容内嵌到当前页面,这关浏览器不支持flash插件,所以图片显示不出来,如果感觉别扭,就在后端把。里面的链接失效了,这关跳过,不过提一句,这关涉及到了exif漏洞,原理是有些网站有读取图片exif信息的功能,当网站读取到的恶意的exif信息就会触发属性中的。发现有的转义,还在script中间加了下划线_,接着尝试闭合,同样存在闭合和转义,所以利用a标签的href来闭合。的,所以加个type="text"
2024-05-08 14:44:03
947
1
原创 XSS攻击万金油Payload
原理我不太明白,但是按我的理解就是这个payload包含了很多绕过,可以用它来测试哪里有注入点,我在pikachu靶场试了所有的xss关卡,都能用。具体的原理,有想弄明白的老铁可以看一下github的原贴。
2024-04-06 12:03:26
201
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人