T

变种XSS:持久控制

tig3r / 2015-11-30

首先声明,这不是一个新洞,看过 Homakov 文章(最后附)以及译文的人想必对这种漏洞有所了解。

但原文写的太过简单(没有说明利用条件、情景和特性),且译文和我的理解略有偏差,于是就有了这篇文章。

这种漏洞已经存在一段时间了,有没有被利用过尚不得知,虽然利用条件较苛刻,但是当符合条件的站点被攻击后, 影响面和影响程度巨大,并且普通用户不知如何清除, 可导致长期持续攻击。

T

360护心镜脚本分析及N种绕过方式

tig3r / 2015-11-24

通过Hook XSS的常用函数,并监控DOM元素的创建,从而对整个页面的js行为进行监控。当发现页面中存在XSS攻击行为时,可根据预置的选项,进行放行,提醒用户选择,阻拦三种处理方式,同时预警中心会收到一次事件的告警,安全人员可根据告警进行应急响应处理。

在研究如何绕过一个系统之前,不急于直接读代码,先旁敲侧击看看这个系统大体都做了什么。

随机分类

Java安全 文章:34 篇
无线安全 文章:27 篇
木马与病毒 文章:125 篇
CTF 文章:62 篇
逻辑漏洞 文章:15 篇

最新评论

Jasper

回@@师傅:楼主用的LDAP实现的RCE,所以需要JDK版本更高一些;实际上如果

J

ja00see

师傅你好,我在创建的时候不管用extractor-java脚本还是手工使用文章中

Jasper

一直在看su18师傅的文章hh

V

vita_ra

好好好

C

Carrie

佬 文章里的图片都显示不了了