XSS

二十几岁的时候,即使你对你的目标和志向很迷茫,很不确定,你却能强烈地感受到生活本身是什么,生活中的你是什么样子,会变成怎样。后来,这种不确定性越来越多,相互交叉,前后纠缠,虚假记忆日渐增加。想当初,你能记住你短暂人生的全部。后来,记忆变成了一件百衲衣。 ——朱立安·巴恩斯《终结的感觉》

0x00 什么是XSS

CSS(Cross Site Scripting,跨站脚本攻击),为了和层叠样式表(Cascading Style Sheet,CSS)区分,所以改为叫XSS。XSS攻击能让攻击者在受害者的浏览器中执行脚本,并劫持用户会话、破坏网络或将用户重定向到其他恶意的站点。

小白知识点(不定期更新...)

有时,对你来说,错误的朋友是一个十全十美的好人,但是你因为错误的原因选择了她,并不是每一个本身是体面人的男人,都必定是你的良人,也不是每一个性情中人的女人,都必定是你的益友。有时,问题不在友人的任何一方,问题在于她们所拥有的友谊类型。——伊丽莎白·坎特《简·奥斯丁之幸福哲学》

网页后缀名

@Override 重写父类的方法.
@Nullable 表示定义的字段可以为空.
一般情况下扩展名可以体现出一个网站使用的技术,xxx.html?id=xxx,这个就是普通的html页面,然后通过javascript或者vbscript来接受页面Get的提交 xxx.do?id=xxx, 这样的一般是用Java,和jsp开发的。再比如说用isapi开发的可以是 xx.dll php开发的是 .php 或者 .php3,perl开发的是 .pl .cgi 等等
还有很多,就不一一举例了, 总之有很多技术都得靠服务器才能实现.

记一次应急处理

那时的我从没出过远门。我二十一岁,在一所州立大学里混日子,除了追女孩子、各种牌戏、诗歌、小说、买醉的乐趣之外,什么也没学到。我拖延着时间,什么有意义的事情也不做,等着看人生究竟会变成什么样。——托马斯·林奇《往来故土之间》

0x00前言

元气满满的我今天还差10分钟就到公司了,突然接到领导一个电话,说有个事儿要我外出一趟。说是有家公司被入侵了,让我过去看看,还说要流量分析(后来发现是我在地铁听错了,是日志分析),我给你讲我就这个表情

富文本编辑器

最近听某人说回忆,解释为什么我们总是随着自己老去,愈发的容易想起童年,想起我们最初的时光,只因为——那些最早来的,总是最后一个离开。——唐诺《读者时代》

前人栽树,后人乘凉。

链接: https://pan.baidu.com/s/1dqexujlZsrgyjLJx4C-6tw 提取码: 3k25

如何挖src的漏洞

对我来说,青春与意识不到自己的身体有关,而老年则经常与有意识地克服某种不幸或体内的痛苦有关。——梅·萨藤《过去的痛》

看看大佬怎么说!!!

APP安全测试入门(其一)

青年人关心自己,对周围的人往往不大留意。最忘恩负义的——同时也是最不讨人喜欢的——年龄是17-20岁。对生活尚未习惯,对自己也是如此。不理解生,不理解死,不理解人们,而与此同时又确信他把一切都看透了,正所谓看破红尘,万念俱灰。

0x00 前言

虽然每次看那些技术书籍,前两章都是讲环境搭建,准备工具之类的,觉得很枯燥。现在就是真香打脸

0x01 磨刀

AndroidKiller

个人觉得挺牛逼的apk反编译工具,还在学习中。

有点意思的XSS

我们是多么迅速、多么频繁地改变着我们的生活和幻想啊!一些朋友离开了我们,另一些朋友又随之而去。我们的关系变化着:总有那个时候,我们不再拥有曾经拥有的东西;总有那个时候,我们对我们的过去一无所有。人不是只有一个生命,他有好几个,一个接着一个,而这是他的苦难。——夏多布里昂《墓中回忆录》

0x00前言

xss漏洞真的是感觉很好挖但有不容易挖,前几天发现一个有意思的练习平台,试着去做了一下,学到了几点新姿势,在此记录一下。

Sqlmap命令行(其三)

0x0D 列举数据库管理系统的模式

参数:–schema和–exclude-sysdbs
用户可用此选项列举数据库管理系统的模式。模式列表包含所有数据库、表、列、触发器和他们各自的类型。
同样地,可使用参数“–exclude-sysdbs”排除系统数据库。

下面是的例子测试对象是Mysql:
部分输出如下:

JSON格式的CSRF

幸福感就如沉积在悲哀之河底隐隐发光的金沙。 ——太宰治《斜阳》

0x01 前言

前几天给一个系统做测试的时候,发现存在一个self-xss漏洞,就想着有没有CSRF能够进一步利用一下,结果发现POST提交的是json数组,利用BurpSuite快捷生成CSRF Poc发现里面没有提交的数据。

Sqlmap命令行(其二)

我近来时时感到,很需要到一处完全听不见电车、火车声响的地方,好好睡一睡,想一想,哪怕只是一天也好。为此,我有了旅行的欲望。 ——谷崎润一郎《阴翳礼赞》

接上一篇Sqlmap命令行(其一)

0x08 检测

1.检测级别
参数:–level
此参数用于指定检测级别,有1~5共5级。默认为1,表示做最少的检测,相应的,5级表示做最多的检测。
Sqlmap使用的payload保存在目录xml/payloads/中,是xml格式的,可以自己定制。节选一个payload如下所示:

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×