波波的寂寞世界-資安科普、網路安全、滲透測試與防護實務筆記,分享 WordPress 安全、雲端主機與日常資安觀察。波波的寂寞世界-資安科普、網路安全、滲透測試與防護實務筆記,分享 WordPress 安全、雲端主機與日常資安觀察。波波的寂寞世界

歡迎光臨
我們一直在努力

最新發布 第36頁

考一個人對XSS的理解,聊 DOM Events-波波的寂寞世界

考一個人對XSS的理解,聊 DOM Events

考一個人對XSS的理解,聊 DOM Events,聊 windows / document 對象的細節屬性方法。 為什麼國內搞攻防,扎堆在WEB安全、滲透測試這兩塊的人最多?因為這兩塊是最容易的,只需要XSS彈個框,就能說自己是做WEB安全...

贊(0)波波波波Web Security 閱讀(2467)
mysql注入奇淫絕技(一)-波波的寂寞世界

mysql注入奇淫絕技(一)

insert 注入、Update注入、Select注入 對於時間盲注,我們一般都會通過sleep()或benchmark()函數構造時間延遲,但是如果sleep和benchmark關鍵字被過濾掉了該怎麼辦? 原文出處:https://mp....

贊(0)波波波波Web Security 閱讀(2144)
基於Service Worker 的XSS攻擊面拓展-波波的寂寞世界

基於Service Worker 的XSS攻擊面拓展

在前段時間參加的CTF中,有一個詞語又被提出來,Service Worker,這是一種隨新時代發展應運而生的用來做離線緩存的技術,最早在2015年被提出來用作攻擊向,通過配合XSS點,我們可以持久化的XSS控制。 本文提到的大部分技術來自 ...

贊(0)波波波波Web Security 閱讀(2715)
php各版本的姿勢(不同版本的利用特性)-波波的寂寞世界

php各版本的姿勢(不同版本的利用特性)

進行滲透測試時,一定要了解語言各版本的特性,每一個版本都有可能存在著不同的繞過姿勢,根據當下環境來判斷該出什麼招式,而不是只靠工具打天下。 原文出處:http://www.am0s.com/penetration/124.html ----...

贊(0)波波波波Web Security 閱讀(2081)
SVG XSS的一个黑魔法-波波的寂寞世界

SVG XSS的一个黑魔法

今天來跟小夥伴們探討一個有趣的問題,看答案前可以先好好思考下這個問題。 1.可以執行XSS的代碼: <svg><script>alert&#40;1)</script> 2.不可以執行XSS的代碼...

贊(0)波波波波Web Security 閱讀(2141)
iOS應用逆向工程資料匯總-波波的寂寞世界

iOS應用逆向工程資料匯總

iOS應用逆向工程資料匯總,這篇文章總結下基礎的應用逆向的方法,工具和一些書籍。 以後有新的發現也會盡量更新到這篇文章。 原文出處:https://everettjf.com/2018/01/15/ios-app-reverse-engin...

贊(0)波波波波Reverse 閱讀(2034)
Python反序列化漏洞的花式利用-波波的寂寞世界

Python反序列化漏洞的花式利用

Python反序列化,前些時間看了看python pickle的源碼,研究了一下一些利用方式,這裡總結分享一下反序列化漏洞的一些利用方式。漏洞原理就不再贅述了,可以看看關於Python sec(上一篇)的簡單總結這篇文章。 原文出處:htt...

贊(0)波波波波Web Security 閱讀(2056)
關於Python-sec的一些總結-波波的寂寞世界

關於Python-sec的一些總結

Python沙箱逃逸,說到python沙箱逃逸,一般來說就是給個交互式的python shell或是web裡面常見的SSTI。 通常如果能夠執行代碼的話,我們一般採用以下的方法: 1、使用常見的命令執行模塊或是文件讀寫模塊 2、使用寫文件到...

贊(0)波波波波Web Security 閱讀(3352)

波波的寂寞世界

Facebook聯繫我們