Bug Bounty

2019-4-26 swx7512467

XSSI 跨站点脚本(XSS) 蛮力 SQL注入(SQLi) 外部XML实体攻击(XXE) 远程执行...

阅读全文>>

评论(0) 浏览(1252)

关于JSON CSRF的一些思考

2019-12-21 swx7512467 技术文章

CSRF作为常见漏洞,一直受到关注和研究,JSON是一种应用广泛的轻量级数据交换格式,当CSRF去POST一段JSON,情况可能会变得有些不一样;此次就一种特殊情况下的CSRF进行分析,权当抛砖引玉。...

阅读全文>>

标签: csrf

评论(0) 浏览(39)

SSTI/沙盒逃逸详细总结

2019-10-22 swx7512467

0x01 原理 SSTI原理 简单说一下什么是SSTI。模板注入,与我们熟知的SQL注入、命令注入等原理大同小异。注入的原理可以这样描述:当用户的输入数据没有被合理的处理控...

阅读全文>>

评论(0) 浏览(87)

远程连接linux服务上的mysql

2019-10-21 swx7512467 技术文章

如果有童鞋linux上还未安装mysql数据库可以参考我上一篇博客 (1)首先确保 linux服务上的 mysql 的3306端口是对外开放的 (2)关闭防火墙 &...

阅读全文>>

标签: centos

评论(0) 浏览(75)

安全测试人员应该知道的安全响应标头

2019-8-19 swx7512467

         HTTP响应标头允许服务器通过响应传递附加信息,该响应指示浏览器在处理应用程序的敏感内容和数据时的行为方式。Http响应安全标头提供...

阅读全文>>

评论(0) 浏览(159)

前端跨域安全

2019-4-28 swx7512467

零、前言 在Web安全中有一条很重要的同源策略,规定了前端安全的基本原则。前端开发中为了能够在不同页面中进行数据传递,设计了多种跨域的数据传递方式,但是数据跨域传递在方便了开发的同时也带来...

阅读全文>>

评论(0) 浏览(190)

同源策略详解及绕过

2019-4-22 swx7512467

浏览器有一个很重要的概念——同源策略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没明确授权的情况...

阅读全文>>

标签: 同源策略

评论(0) 浏览(216)

揭开XSSI攻击的神秘面纱

2019-4-21 swx7512467

同源策略 同源策略是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(java...

阅读全文>>

标签: xssi

评论(0) 浏览(202)

服务器端模板注入 - 崩溃课程

2019-4-7 swx7512467

您是否注意到某些电子邮件(即使看起来像来自大量电子邮件广告系列)是如何发送给您的名字的?这是工作中的模板引擎。最常用的一些服务器端模板引擎是Smarty,Mako,Twig和Jinja2。Web应用程...

阅读全文>>

评论(0) 浏览(274)

GraphQL滥用:通过参数走私绕过帐户级别权限

2019-4-7 swx7512467

在这篇访客博客中,安全研究员和Detectify Crowdsource黑客Jon Bottarini撰写了他在仔细研究Facebook流行的GraphQL时发现的有趣错误。 自2015年...

阅读全文>>

评论(0) 浏览(388)

Powered by emlog