- 博客(19)
- 收藏
- 关注
RSS订阅原创 【XSS-专题】
模板文字由反引号 分隔,而不是单引号 (‘’) 或双引号 (“”)。在模板文字中,由 ${} 语法指示的占位符可用于动态嵌入表达式或变量。当评估模板文字时,这些占位符将替换为相应的值。首先了解一下模板字符串,用于 JavaScript 中的字符串插值。它们允许创建跨越多行并在其中包含表达式或变量的字符串。在lab中我们可以发现输入的查询字符串会显示在script标签中。根据模版字符串的特性,将输入语句改为。
2024-11-01 14:55:51
214
1
原创 【缓存投毒-专题】
所以该请求会被服务器缓存,注意要发送两次数据包,命中缓存后切换浏览器。当我们再次访问首页时,就能够触发缓存中的xss。头,发现响应主页中使用到了该处字符。
2024-10-16 12:58:43
221
原创 【Oauth劫持-持续更新】
尝试修改email和username,成功登陆,用户和token并没有进行绑定。登陆过程抓包,发现用户凭证token作为参数传递。
2024-08-22 14:27:14
236
原创 (简单解决)java11 冰蝎打开报错: 找不到或无法加载主类 net.rebeyond.behinder.ui.Main
冰蝎打开报错: 找不到或无法加载主类 net.rebeyond.behinder.ui.Main
2022-10-02 14:35:17
2525
原创 ImportError: cannot import name ‘soft_unicode‘ from ‘markupsafe‘
ImportError: cannot import name 'soft_unicode' from 'markupsafe'
2022-10-01 22:25:54
1356
原创 Firefox报错——Gah. Your tab just crashed.
Kali下firefox报错:Gah. Your tab just crashed.
2022-09-29 17:32:17
3445
原创 BWAPP靶场-HTML injection-Reflected(POST)
0x00分析测试过程中要注意GET请求与POST请求的不同,注意传入参数方式,其他部分与GET请求部分基本相同0x01 LOW源码:没有进行过滤,随便测试一下firstname输入<script>alert(1)</script>Last name随意输入外连接:Last name随意输入,First name输入<a href="http://www.baidu.com">111</a>点击111即可完..
2021-05-06 19:05:24
283
原创 BWAPP靶场-HTML injection-Reflected(GET)
0x00 知识储备HTML注入,就是当用户进行输入时,服务器没有对用户输入的数据进行过滤或转义,导致所有输入均被返回前端,网页解析器会将这些数据当作html代码进行解析,这就导致一些恶意代码会被正常执行。0x01 Low首先输入1和1测试一下发现结果正常出现在页面上,直接试一试XSS<script>alert(1)</script>1还可以尝试超链接<a href="http://www.baidu.com">111</a&.
2021-05-01 12:16:51
567
2
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人