一、JS编码与HTML编码区分:HTML实体可以使用十进制与十六进制编码;javascript可以使用Unicode与八进制与十六进制进行编码。二、编码原理区分:三、编码与非编码对于JS编码:1.(JS Unicode编码)2. (JS八进制编码)3.(JS十六进制编码)对于HTML编码:1. (....
分类:
其他好文 时间:
2015-01-24 20:01:37
阅读次数:
255
0x00 闲扯好吧继上一篇文章之后,就没发文章了!(其实是一直在写但是写的很少还凑不起一篇文章而已)但是这几天对插件进行了一定的改良了 因为在自己在实际的XSS过程中也发现了自己的插件 还不够强大!不能够百分之百的满足自己的需求!所以就根据自己平常的需求给加了上去!我想做到玩XSS一个工具即可解决需...
分类:
Web程序 时间:
2015-01-24 19:58:33
阅读次数:
424
在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代, 参数化查询 [1] 已经成了普遍用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了,所以我对用...
分类:
其他好文 时间:
2015-01-22 19:35:52
阅读次数:
262
xss payload可以使用富客户端文本书写,大多数用javascript,少部分用actionscript等等。1.盗取cookie,发起cookie劫持使用xss漏洞插入cookie.jscookie.js代码:1var img = document.createElement("img");...
分类:
其他好文 时间:
2015-01-22 14:36:18
阅读次数:
271
xss payload可以使用富客户端文本书写,大多数用javascript,少部分用actionscript等等。1.盗取cookie,发起cookie劫持使用xss漏洞插入cookie.jscookie.js代码:1var img = document.createElement("img");...
分类:
其他好文 时间:
2015-01-22 12:56:07
阅读次数:
186
DedeCMS Xss+Csrf Getshell \dede\file_manage_control.php
分类:
Web程序 时间:
2015-01-21 11:31:12
阅读次数:
665
重要的4个规则:1 &符号不应该出现在HTML的大部分节点中。2 尖括号是不应该出现在标签内的,除非为引号引用。3 在text节点里面,用来指示浏览器需要解析的方式,同样也可使用Content-Type头来告诉浏览器。一般情况下,浏览器中的解析器会尝试恢复大多数类型的语法错误,包括开始和结束标记。在...
分类:
其他好文 时间:
2015-01-20 13:27:21
阅读次数:
279
一、防止跨站脚本攻击(XSS)①:@Html.Encode("<script>alert(‘123‘)</script>")编码后:<script>alert('123')</script>②:@Html.AttributeEncode("<script>alert(‘123‘)</script>")编码后:<sc..
分类:
Web程序 时间:
2015-01-20 12:10:33
阅读次数:
236
为什么要拿CSRF来当“攻击手法系列”的开头篇呢?因为CSRF/XSRF我个人喜爱他的程度已经超过XSS了。如果说XSS是一个老虎,那么CSRF就是隐藏在暗处的蛇。--all from freebuf相信现在很多人不明白CSRF是怎么运作,他和XSS的不同是在哪里。我这里就逐步为大家解释,并从浅入深...
分类:
其他好文 时间:
2015-01-13 21:25:27
阅读次数:
267
XSS漏洞详细分析与讲解.rarxss黑白盒渗透测试.pdfxss基础钓鱼-shgcx.com.zipXSS利用教程-shgcx.com.zipxss盲打渗透网站.docXSS挖掘.pptXSS系列第三讲(基础认证钓鱼与XSS)-shgcx.com.zip比特网xss可登陆后台.docx黑客防线VI...
分类:
其他好文 时间:
2015-01-08 22:39:49
阅读次数:
803
