Tag: Cross Site Attack
查看所有 Tags 随机文章CSRF(Cross-site request forgery)跨站请求伪造,XSS (Cross Site Scripting) 跨站脚本攻击,所有关于跨站的一切
CSRF(Cross-site request forgery)跨站请求伪造,XSS (Cross Site Scripting) 跨站脚本攻击,所有关于跨站的一切
Google Code-in 在线编程竞赛网站对 JSON 数据转义不正确而导致的 XSS 漏洞
XSS 这货,我觉得真要很熟悉 JavaScript 才可以的,不然一般人是想不到 constructor.constructor('alert("xs ...
高级 JavaScript 注入技术
标题起得有些“UC 震惊部”出来的感觉。说起 JS 的注入,的确是门学问,特别是闭合已有的 tag 或者字符串方面,更加是门学问
更为关键的是,要对 JS、CSS、HTML要有全面的了解,还有浏览器处理这些特殊、 ...
针对家庭路由器和 SOHO 路由器的新型漏洞利用工具包 Novidade 被发现
趋势安全博客的东西写得都有“危言耸听”,我不是特别喜欢转载,虽然这一篇写得也不怎么样,但是我还是想说一下,家庭路由的危险性
在家庭路由纷纷过 100Mbps 带宽的时代 ...
印象笔记 Windows 客户端 6.15 本地文件读取和远程命令执行漏洞(CVE-2018-18524)
实在难得的例子,一个因为 XSS 导致本地文件读取和 RCE 的例子。
引入 NodeJS 环境到本地,对于输入过滤不严,产生的 XSS 极其 ...
OpenNebula 4.6.1 云平台虚拟机 root 提权漏洞分析,简单看了一下漏洞的过程,你很难想象,这个提权获得 root 的原因竟然是因为网页里的 XSS 漏洞。
我觉得这就是一个很好的可以让那些说 XSS 漏洞是小玩具的同学闭上嘴巴的例子 ...
低严重性漏洞到高严重性漏洞的转变 - Self-XSS & CSRF & OAuth。中国的一句固话:千里之堤,溃于蚁穴。意思你懂的。
浏览器 CSP 绕过,执行任何你想执行的代码。遍观里面的实现,其实核心做法就是制造异常,其套路不可谓不深
作者讲述了自己关于 React 库防御 XSS 攻击的思考与加固思路。从我的角度而言,React 等一系列的 MVVM 框架想实现自己的 XXS 防御,我觉得比较难。为什么这么说?因为这些类库模糊了传统 HTML、CSS 和 Javascript 的界限!
Safari 浏览器里特殊的 Host headers 导致的问题。作者用了一些实际的例子演示了特殊的 Safari 里特殊 Host headers 导致的问题。
配合这篇文章食用,效果更好 The Good, The Bad and The Ugl ...
TP-Link 无线路由器 TL-WR720N 的 CSRF 漏洞,运行几行 Javascript 就能完成攻击,还是 0day 漏洞!
或者很多人会说这样的 CSRF 攻击不值一提,然而这几行 JS 要是插入到一个流量巨大的网站,就能莫名其妙地改掉用 ...
如何预防 XSS 漏洞
感觉也只是预防吧,在 Web App 中,各种输出到浏览器解析的东西,都有可能成为 XSS 的来源,个人感觉很难完全避免,但是有很多的技术和措施可以最大程度去缓解,并且能事后报告
如何在三天内挖到 Facebook 3 个存储型 XSS 漏洞
预感是 Open Graph 的问题,仔细看了一下这个漏洞的成因,还真是因为 opengraph 嵌入 swf 导致的存储型 XSS
JShell - Get a JavaScript shell with XSS. 简单来说,就是在被害的页面上插入一个远程的实时 Polling 的脚本,这样就可以实时控制插入的 JS啦!思路挺简单,不过工具却是现成的
使用 Facebook Accountkit 黑掉 Tinder 帐户。
粗略看了一下,感觉是个很尴尬的漏洞,应该是 Facebook AccountKit 的 aks cookie 没有验证导致的复用攻击
关于 XSS 的一些事一些情。Keynote 写得挺深入浅出的,可以作为入门教材看一下。
顺便看了一下这哥们的 Blog HACK 2 LEARN -Master the art of Cross Site Scripting. 里面几乎全部都是 XS ...
不使用 iframe 通过 CSS 注入来实现 CSRF Token 的盗取,一个很好的思路!