- 博客(12)
- 收藏
- 关注
RSS订阅原创 xss-labs刷题记录
本文介绍了多种XSS攻击绕过技术,包括:1)利用HTML标签事件属性(如onclick/onerror);2)大小写绕过关键词过滤;3)双写关键字绕过删除防护;4)Unicode编码绕过特殊字符检测;5)通过注释符绕过http://检测;6)利用隐藏表单字段触发XSS;7)修改HTTP头部(Referer/User-Agent/Cookie)注入恶意代码;8)使用%0a/%0d替代空格;9)通过AngularJS的ng-include包含外部恶意脚本。文章展示了从基础到高级的XSS绕过方法,覆盖了不同防护机
2025-10-12 17:22:27
792
原创 ctfshow刷题日记xss web316-web333
摘要:本文记录了XSS漏洞测试全过程,从基础的script注入到绕过过滤的各种技巧(如使用img标签、编码替代空格等)。详细描述了如何搭建接收Cookie的PHP服务,并通过不同标签(input/body/iframe)触发XSS。进阶部分包括利用AJAX修改密码、转账逻辑漏洞(负数充值、重复请求)等实战技巧,最终通过会话劫持获取管理员权限。测试涉及Web316-333多个关卡,展示了XSS攻击链的完整利用过程。
2025-10-12 17:21:21
521
原创 CTF-MISC刷题-图片篇
Stegseek是迄今为止全世界最快的Steghide破解器,该工具每秒能够处理数百万的密码。虽然Stegseek是一款轻量级工具,但丝毫不影响其功能性的强大。该工具作为原始Steghide项目的一个分支而构建,它的速度比其他破解器快上千倍。在该工具的帮助下,广大研究人员可以轻松从使用了Steghide隐写&加密的文件中提取出隐藏的数据。除此之外,Stegseek还可以用来提取Steghide的元数据,我们可以利用这些信息来判断一个文件中是否包含了Steghide数据。
2023-12-23 22:41:26
5002
1
原创 SQL注入
SQL注入(SQLInjection)是一种常见的web安全漏洞,攻击者利用这个漏洞,可以访问或修改数据,或利用潜在的数据库漏洞进行攻击。针对SQL注入的攻击行为可描述为通过用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结外一下两个原因叠加造成的:程序编写者在处理程序和数据库交互时,使用的方式构造SQL语句。未对用户可控参数进行足够的便将参数内容拼接进入到SQL语句中。
2023-04-19 09:16:28
139
原创 XSS漏洞学习笔记
xSS 作为OWASP TOP 10之一,xSS被称为跨站脚本攻击(Cross-sitescripting),本来应该缩写为CSS,但是由于和CSS (Cascading StyleSheets,层叠样式脚本)重名,所以更名为XSS。XSS(跨站脚本攻击)主要基于完成恶意的攻击行为。JS可以非常灵活的操作html、css和浏览器,这使得XSS攻击的“想象"空间特别大。XSS通过将精心构造的代码(JS)代码注入到网页中,并由浏览器解释运行这段JS代码,以达到恶意攻击的效果。
2023-04-15 14:39:28
117
原创 html03
1.3表格属性表格标签的属性实际开发不常用,使用后面的CSS来设置的2.2有序列表2.3自定义列表 一个表单通常由表单域,表单控件(表单元素)和提示信息3部分组成
2022-06-23 14:47:39
81
原创 html02
绝对路径绝对路径:是指目录下的绝对位置,直接到达目标位置,通常是从盘符开始的路径超链接标签<a href="跳转目标" target="目标窗口的弹出方式">文本或图像</a>属性 作用 href 用于指定链接目标的url地址。必须属性 target 用于指定连接页面的打开方式。_self为默认值在当前页面打开,_blank为在新窗口中打开 空链接<a href="#">空链接</a>下载链
2022-03-23 17:15:46
118
原创 html01
最新前端开发入门教程,web前端零基础html5 +css3+前端项目视频教程_哔哩哔哩_bilibilihttps://www.bilibili.com/video/BV1Kg411T7t9?p=1w'w'w'w'w'w'w'w'w'w'w'w'w'w'w'w'w'w'w
2022-03-21 17:40:13
264
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人