發(fā)簡信
IP屬地:上海
-
使用IDOR利用自存儲的XSS
在這篇文章中醋寝,我將談?wù)搸讉€月前發(fā)現(xiàn)的有趣的錯誤鏈滥壕。存儲的XSS + IDOR(分別是跨站點(diǎn)腳本和不安全直接對象引用)叨橱。 目標(biāo)是幫助管理財務(wù)的應(yīng)用...
-
XSS SVG介紹 跨站點(diǎn)腳本(XSS)是一個非常常見的漏洞李丰,涉及在網(wǎng)頁中注入javascript代碼。從竊取用戶Cookie到通過CORS繞過SOP,此漏洞...
-
CVE-2017-11882 通殺所有office版本影響版本: office 2003office 2007office 2010office 2013office 2016 工具 https:/...
-
PHP_SELF漏洞什么是PHP_SELF變量? PHP_SELF是一個返回正在執(zhí)行的當(dāng)前腳本的變量揽祥。此變量返回當(dāng)前文件的名稱和路徑(來自根文件夾)。您可以在FOR...
-
利用dnslog進(jìn)行無回顯注入原理 在sql注入時為布爾盲注檩电、時間盲注拄丰,注入的效率低且線程高容易被waf攔截,又或者是目標(biāo)站點(diǎn)沒有回顯俐末,我們在讀取文件愈案、執(zhí)行命令注入等操作時無...
-
關(guān)于jsonp劫持關(guān)于jsonp JSONP 全稱是 JSON with Padding ,是基于 JSON 格式的為解決跨域請求資源而產(chǎn)生的解決方案鹅搪。他實(shí)現(xiàn)的基...
-
OAuth回調(diào)參數(shù)漏洞案例解析
介紹 OAUTH協(xié)議為用戶資源的授權(quán)提供了一個安全的、開放而又簡易的標(biāo)準(zhǔn)遭铺。與以往的授權(quán)方式不同之處是OAUTH的授權(quán)不會使第三方觸及到用戶的帳號...
-
做一個簡單的bad usb漏洞背景 “BadUSB”是計算機(jī)安全領(lǐng)域的熱門話題之一丽柿,該漏洞由Karsten Nohl和Jakob Lell共同發(fā)現(xiàn),并在2014年的Bla...
-
看我是如何利用QQ反彈shell介紹 DLL(Dynamic Link Library)文件為動態(tài)鏈接庫文件魂挂,又稱“應(yīng)用程序拓展”甫题,是軟件文件類型。在Windows中涂召,許多應(yīng)用...