03 2020 档案
摘要:AngularJs XSS沙箱绕过payload 1.0.1 - 1.1.5 {{constructor.constructor('alert(1)')()}} 1.2.0 - 1.2.1 {{a='constructor';b={};a.sub.call.call(b[a].getOwnPrope
阅读全文
摘要:一、实体编码 将不可信数据插入到HTML标签之间时,应对这些数据进行HTML Entity编码,具体编码对照表如下。 显示结果描述实体名称实体编号 空格   < 小于号 < < > 大于号 > > & 和号 & & " 引号 &qu
阅读全文
摘要:ASCII控制字符 二进制十进制十六进制缩写可以显示的表示法名称/意义 0000 0000 0 00 NUL ␀ 空字符(Null) 0000 0001 1 01 SOH ␁ 标题开始 0000 0010 2 02 STX ␂ 本文开始 0000 0011 3 03 ETX ␃ 本文结束 0000
阅读全文
摘要:从网站上下载文件时,为了防止文件被篡改,文件作者会附加上文件的哈希值,以便用户把文件下载下来后,通过对比文件哈希值来确认文件是否被篡改。 1、Window的如下命令可以直接计算文件哈希,非常方便。 certutil -hashfile filename MD5 certutil -hashfile
阅读全文
摘要:一、什么是HMAC HMAC是一种使用单向散列函数来构造消息认证码的方法,其中HMAC中的H就是Hash的意思。 HMAC中所使用的单向散列函数并不仅限于一种,任何高强度的单向散列函数都可以被用于HMAC,如果将来设计出的新的单向散列函数,也同样可以使用。 使用SHA-1、SHA-224、SHA-2
阅读全文
摘要:“对于网络安全来说,一切的外部输入均是不可信的”。但是CSV文件注入漏洞确时常被疏忽,究其原因,可能是因为我们脑海里的第一印象是把CSV文件当作了普通的文本文件,未能引起警惕。 一、漏洞定义 攻击者通过在CSV文件中构造恶意的命令或函数,使得正常用户在使用Excel打开这个CSV文件后恶意的命令或函
阅读全文