10 2022 档案
摘要:初始页面: 使用基础语法探测:<script>alert(1)</script>,依旧被过滤,尝试绕过:"><a HREF="javascript:alert(1),绕过成功,点击页面任意位置即可
阅读全文
摘要:初始页面: 老规矩,查看页面源码 没看到什么异常,尝试基础语法:<script>alert(1)</script> 发现script被处理了,尝试level的onclick事件:" onclick="alert(1): 同样做了处理,求助于百度,了解到存在a标签的xss语法:"><a href="j
阅读全文
摘要:初始页面: 根据level3,需要养成一个习惯,输入test后查看一下页面源代码 和level2有点相像,需要绕过,针对level3构造绕过payload:" onclick="alert(1),点击输入框即可
阅读全文
摘要:xss介绍 xss简介 1、XSS作为OWASP TOP 10之一。 2、XSS(跨站脚本攻击)主要基于javascript(js)来完成恶意的攻击行为。 3、XSS是一种经常出现在web应用中的计算机漏洞,也是web中最主流的攻击方式。 4、XSS是指恶意攻击者利用网站对用户提交的数据进行转义处理
阅读全文
摘要:初始页面: 输入基础语法:<script>alert(1)</script> ,查看页面源代码 输入的基础语法被转义了,我们可以给input标签添加一个点击属性:' onclick='alert(1),查看页面源码 嵌入成功,返回页面点击输入框即可
阅读全文
摘要:初始页面: 输入test,查看页面源代码 输入基础语法:<script>alert(1)</script> 双引号绕过: 双引号绕过:"><script>alert(1)</script>
阅读全文
摘要:初始页面: 注入点:name参数,使用基础语法:<script>alert(1)</script>
阅读全文
摘要:前言 与大多数恶意软件不同,“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹,而是直接将恶意代码写入内存或注册表中。由于没有病毒文件,传统基于文件扫描的防病毒软件很难侦测到它们的存在。然而,“无文件”攻击的定义已经逐渐扩大化,那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了
阅读全文
摘要:spassin扫描器使用文档 使用方法 python spassin.py -h 注:1、本程序默认线程数为 10,线程数可调,参数为:-T/--thread 2、本程序支持设置代理,不过仅限 webscan、domain参数 cdn查询 python spassin.py --cdn -u www
阅读全文
