考一個人對XSS的理解,聊 DOM Events
考一個人對XSS的理解,聊 DOM Events,聊 windows / document 對象的細節屬性方法。 為什麼國內搞攻防,扎堆在WEB安全、滲透測試這兩塊的人最多?因為這兩塊是最容易的,只需要XSS彈個框,就能說自己是做WEB安全...
共 3 篇文章
標籤:XSS
波波
基於Service Worker 的XSS攻擊面拓展
在前段時間參加的CTF中,有一個詞語又被提出來,Service Worker,這是一種隨新時代發展應運而生的用來做離線緩存的技術,最早在2015年被提出來用作攻擊向,通過配合XSS點,我們可以持久化的XSS控制。 本文提到的大部分技術來自 ...
SVG XSS的一个黑魔法
今天來跟小夥伴們探討一個有趣的問題,看答案前可以先好好思考下這個問題。 1.可以執行XSS的代碼: <svg><script>alert(1)</script> 2.不可以執行XSS的代碼...