分类目录:Web安全

以下是分类 Web安全 下的所有文章

【Web安全】如何正确的去打XSS Payload,见框就插总结技巧篇

XSS练习平台: http://xss-quiz.int21h.jp/ NO.1:对于没有过滤的XSS 认识常用的html标签 <b>粗体文本 探测XSS的过程: 1.构造一个独一无二的正常字符串去提交到文本框 比如:12345qwert 2.然后使用浏览器的F12查看代码,使用鼠标箭头去查看刚刚构造的字符串是否在页面中显示 ……

来自T00ls的帖子-XSS的奇技淫巧

T00LS在前段时间开启了markdown支持,这个漏洞也正是markdown的问题导致。 Markdown是一种可以使用普通文本编辑器编写的标记语言,通过简单的标记语法,它可以使普通文本内容具有一定的格式。 Markdown本身是一种标记语言,在网页上的应用也很简单,比如当我在markdown中输入加粗,那么经过转换之后,这个短句将会变……

逻辑漏洞

逻辑漏洞 逻辑漏洞是一种业务逻辑上的设计缺陷,业务流存在问题。 这里说一下密码找回漏洞、多线程条件竞争漏洞和支付漏洞。 密码找回漏洞 1、 测试流程 先尝试正确的密码找回流程,记录不同找回方式的所有数据包 分析数据包,找到有效数据部分 推测数据构造方法 构造数据包验证猜测 2、 分类 * 邮箱找回 一般是点击邮件中的链接后会转跳到修密码的……