#XSS

这部分是从其他师傅们的文章里摘抄的笔记与一些其他内容的总结,以便学习与复习。

什么是CSP?

Content Security Policy (CSP)内容安全策略,是一个附加的安全层,有助于检测并缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入攻击。

https://www.w3.org/TR/CSP3/

mehr

今天遇到了一个Markdown的编辑器,打开后看了一下。突然想到之前在之前遇到的一个Markdown Self xss,心想这个是不是也会有同样的问题?于是测了一下,结果还真找出来了。更巧的是,今晚上学习正则表达式的时候,竟然正好学到匹配Markdown标签的内容,而且匹配之后会出现的情况跟我今天测试的一模一样~

以前也总结过关于Markdown中的xss,除了直接把xss payload复制到编辑框以外,还有构造markdown的一些标签:

mehr

引言:

缓存投毒,听起来就是寻找和利用都很困难的一类漏洞利用。但在了解了原理以及实际体验过之后,你会发现,过程很神奇,结果很美好~ 这篇文章算是对缓存投毒的一个小总结,以便后面的复习。内容浅尝即止,师傅们轻喷。

文章一共分为以下几个部分:

  1. 什么是缓存投毒?
  2. 缓存投毒的发现与利用
  3. 通过几个实验例子来实践缓存投毒
  4. 使用缓存投毒来解CTF题

mehr

学长在之前分享过一个集跨窗口通信与localstorage一身的XSS漏洞,一直拖着没有整理。想来想去还是躲不掉的,今晚就此整理一下吧。先总结一下跨窗口通信与localstorage的笔记,最后再把这个XSS漏洞的过程梳理一遍。

mehr

XSS输出点(简要笔记):

HTML标签之间

例如: <div>[输出]</div> 直接提交:<script>alert(1)</script>

当标签是不能执行脚本的标签时,就得先把那个标签闭合,然后再注入XSS语句。

例如:</textarea><script>alert(1)</script>

mehr

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×