前端防御 XSS
0x00 前言我不否认前端在处理XSS的时候没有后端那样方便快捷,但是很多人都在说过滤XSS的事就交给后端来做吧。前端做没什么用。我个人是非常反感这句话的。虽然说前端防御XSS比较...
XSS
js-xss:根据白名单过滤 HTML(防止 XSS 攻击)
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的...
XSS 跨站脚本初学总结
0x00 引言学习Web安全,必然是从SQL注射和XSS开始的,毕竟貌似比较基础。学习了几天,没挖出什么洞,只好先总结一下。。。名言金句:见框就插、改数据包不可见部分、改URL参数...
PHP 从框架层面屏蔽 XSS 的思考和实践
对于新接触web开发的同学来说,XSS注入是一件非常头疼的事情。就算是web开发多年的老手,也不敢保证自己写的代码完全没有XSS注入的风险。 因为现在比较主流的XSS防治手段主要有...
[译] XSS 现代 WAF 规则探测及绕过技术
初始测试 1、使用无害的payload,类似<b>,<i>,<u>观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等;2、如果过滤闭合标签,尝试无闭合标签的...
XSS 终结者:CSP 理论与实践
原文地址 CSP 全称为 Content Security Policy,即内容安全策略。主要以白名单的形式配置可信任的内容来源,在网页中,能够使白名单中的内容正常执行(包含 JS...
团
团
团
团
[译] React 应用中最常见的 XSS 漏洞以及防御手段
React 应用中最常见的XSS漏洞以及防御手段翻译自the-most-common-xss-vulnerability-in-react-js-applications,从属于笔...
XSS “从 1 到 0”
时隔半年终于也应该更新了,之前说的每周更新也因为懒散这个借口变得遥遥无期。之所以叫这个标题,是在Freebuf上看到一篇文章,开头作者问到:“网上大多的文章标题都是XXX从0开始,...
XSS 攻击的处理
这是一年前写的项目笔记,一直在我的待办事项里等待做总结,今天偶然翻到,就整理成文章发出来。谨以此文怀念 乌云。 事情缘由春节前的某一天,收到一封来自乌云(国内知名白帽子团队)的邮件...
团
[译] XSS 攻击之窃取 Cookie
译者按: 10年前的博客似乎有点老了,但是XSS攻击的威胁依然还在,我们不得不防。原文: XSS - Stealing Cookies 101 译者: Fundebug 为了保证可...
团
说说 JSONP 和 XSS
我讨厌 JSONPJSONP XSS 问题原因 Content-Type: application/json Content-Type: text/html 解决方法 JSONP先...
Web 安全系列:XSS 攻击
前段时间在学习Web安全方面的知识,对这方面有了进一步的了解,决定写文章记录下来,只是对Web安全方面知识的一些总结,没有太多的深度。XSS攻击简介跨站脚本攻击(XSS),英文全称...
浅说 XSS 和 CSRF
在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。本文将会简单介绍 XSS 和 CSRF 的攻防问题。声明:本文的示例仅用于演示相关的攻击原理XSSXSS,即 Cr...
团
[译] Gmail 和 Google 的两个 XSS 老漏洞分析
翻译作者:DM(信安之路前端安全小组成员) 原文地址:https://blog.bentkowski.info/2014/06/gmail-and-google-tale-of-t...
Web 安全漏洞之 XSS 攻击
编者说:作为JS系工程师接触最多的漏洞我想就是 XSS 漏洞了,然鹅并不是所有的同学对其都有一个清晰的认识。今天我们请来了 @卢士杰 同学为我们分享他眼中的 XSS 漏洞攻击,希望...
团
Penetration Test(渗透测试):XSS 跨站脚本攻击
一些声音: “XSS?不就是弹出个对话框给自己看吗?!” “反正XSS不能窃取我的root权限。“ “跨站脚本是在客户端执行,XSS漏洞管我什么事!” “XSS等同于鸡肋漏洞。...
XSS'OR V2:一款漂亮实用的 XSS 黑客工具
XSS'OR V2XSS'OR V2是一款免费开源的XSS黑客工具,是XSS'OR的升级版本。它包含三个主要模块:Encode/Decode,Codz,Probe,即编码/解码,代...
团
团
