当前位置:首页 > 安全文摘 > Web安全
 
使用 XML 内部实体绕过 Chrome 和 IE 的 XSS 过滤器
 silence2016-10-20 19:11:04
若 Web 应用在后端处理了一些 XML 文件,而且存在 XSS 漏洞的话,那么或许能使用 XML 实体来绕过常用 web 浏览器的 XSS 过滤器,比如Chrome, IE 和 Safari 浏览器。同样在
“杀手”木马:一个浏览器恶意插件行为分析
 silence2016-10-20 19:01:04
近期,腾讯反病毒实验室发现一款通过浏览器插件作恶的木马程序大量传播,经分析,该木马能够静默安装IE、Chrome两种类型的多款浏览器插件,通过这些恶意插件实现篡改导航网
Unicode同形字引起的安全问题
 Kong2016-10-20 15:03:29
历史上的安全漏洞spotify的漏洞相关资料:https://labs.spotify.com/2013/06/18/creative-usernames/spotify的漏洞相比于github的漏洞来说是一个真正的高危漏洞,可以修改任
子域名搜集思路与技巧梳理
 Kong2016-10-20 14:45:15
前言本文适合Web安全爱好者,其中会提到8种思路,7个工具和还有1个小程序,看本文前需要了解相关的Web基础知识、子域名相关概念和Python 程序的基础知识。感谢我的好友龙哥
由HITCON 2016一道web聊一聊php反序列化漏洞
 silence2016-10-20 01:56:05
反序列化漏洞在各种语言中都较为常见,下面介绍一下php的反序列化漏洞。1.unserialize函数php官方文档(http://php.net/manual/en/function.unserialize.php),从中可以得
获取用户IP的正确姿势
 Kong2016-10-19 22:44:23
如何获取用户的IP,这个需求简直是太常见了,像登录入口,注册入口,投票,日志记录,api接口中判断同一个ip单位时间内的请求数,可是怎么去获取用户的真实IP呢?网上的代码
从一字节溢出到任意代码执行-Linux下堆漏洞利用
 Kong2016-10-19 17:08:11
一个字节溢出被称为off-by-one,曾经的一段时间里,off-by-one被认为是不可以利用的,但是后来研究发现在堆上哪怕只有一个字节的溢出也会导致任意代码的执行。同时堆的off-
ES6中的模板字符串和新XSS Payload
 Kong2016-10-19 17:06:11
众所周知,在XSS的实战对抗中,由于防守方经常会采用各种各样严格的过滤手段来过滤输入,所以我们使用的XSSPayload也会根据实际情况作出各种各样的调整,最常见的如避免括号
Fancy3D引擎(YY浏览器)远程命令执行
 Kong2016-10-18 17:44:22
本文属于浏览器安全系列第三篇,目录如下2345浏览器本地文件读取及远程命令执行
百度浏览器远程命令执行
搜狗浏览器从UXSS到远程命令执行
Fancy3D引擎(YY浏览器)远程命
搜狗浏览器从UXSS到远程命令执行
 Kong2016-10-18 17:34:11
本文属于浏览器安全系列第三篇,目录如下2345浏览器本地文件读取及远程命令执行
百度浏览器远程命令执行
搜狗浏览器从UXSS到远程命令执行
Fancy3D引擎(YY浏览器)远程命