一款用于发现SSRF、XXE、XSS漏洞的小工具
2017-06-20  
今天给大家介绍的是运行在我自己Web服务器中的一堆脚本,这些脚本可以帮助我快速检测SSRF、Blind XXS以及XXE漏洞,喜欢的朋友可以将它们部署到自己的环境中。
分享插件 AddThis 导致的 DOM XSS
2016-12-27  
说明:这个漏洞是 https://labs.detectify.com/2016/12/15/postmessage-xss-on-a-million-sites/ 修复的绕过,目前已经报告给AddThis并得到修复。
新手指南:DVWA-1.9全级别教程(完结篇,附实例)之XSS
2016-12-26  
目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程.
UXSS on Microsoft Edge – Adventures in a Domainless World
2016-12-15  
今天,我们来讨论设计上的问题,配合这些问题,我们最终在 Microsoft Edge 浏览器上实现了通用跨站脚本攻击(UXSS)。
通过反射型 XSS 绕过配合 form-action 绕过 CSP
2016-12-06  
CSP(Content-Security-Policy)是一个HTTP响应头,该响应头包含了指示浏览器如何限制页面上的内容的指令。 例如,”form-action”指令限制了可以提交的原始表单。
JSON-handle DomXSS Vulnerability
2016-11-30  
刚好距上次发表 ChromeJsonView 的【问题】半年时间,这次简单描述下 Firefox 浏览器中 JsonHandle 最新版存在的安全缺陷。
一个价值7500刀的CHROME UXSS(CVE-2016-1631)分析与利用
2016-11-21  
本文的写作来源于前几天一个小伙伴发过来一个漏洞链接让笔者帮忙解释一下漏洞原理,为了便于小伙伴的理解且留作笔记供日后查阅遂写此文。
傲游浏览器漏洞系列(上)- 任意文件写入,UXSS
2016-11-15  
Maxthon Browser(傲游浏览器) 又是一个当下比较流行的 Android 浏览器,未使用Android 的 stock 浏览器(AOSP)。我在 Android 版的浏览器中发现了一些有趣的甚至有些严重
anti-XSS:开源XSS脚本检测工具
2016-11-03  
项目主页https://github.com/lewangbtcc/anti-XSS简介anti-XSS采用Python编写,除了必要的系统库和报告生成库,没有引入任何第三方库。通过迭代和二次开发,anti-XSS不仅可
XSS dynamic detection using PhantomJs
2016-10-30  
[+] Author: fridayy[+] Team: n0tr00t security team[+] From: http://www.n0tr00t.com[+] Create: 2016-10-29XSS 是典型的浏览器端漏洞,由于用户的输入未经转义直接输出
使用 XML 内部实体绕过 Chrome 和 IE 的 XSS 过滤器
2016-10-20  
若 Web 应用在后端处理了一些 XML 文件,而且存在 XSS 漏洞的话,那么或许能使用 XML 实体来绕过常用 web 浏览器的 XSS 过滤器,比如Chrome, IE 和 Safari 浏览器。同样在
ES6中的模板字符串和新XSS Payload
2016-10-19  
众所周知,在XSS的实战对抗中,由于防守方经常会采用各种各样严格的过滤手段来过滤输入,所以我们使用的XSSPayload也会根据实际情况作出各种各样的调整,最常见的如避免括号