XSS与字符编码的那些事儿

XSS与字符编码的那些事儿

0x00基本介绍提起XSS 想到的就是插入字符字符编码与各种解析了!这也就是各种xss编码插件跟工具出世的原因!之前不懂浏览器是如何对我们编码过的代码进行解析的时候就是一顿乱插!各种编码 各种插 没把编码还原就算了 还原了就算运气好!后来到PKAV经过二哥和短短的调教后才算是弄清楚了一点编码与解析方面的知识!现在也算是运用自如了把!现在介绍一下在xss中最经常用到的编码html实体编码(10进制与16进制):如把尖括号编码[ < ] -----> html十进制: &#60; html十六进制:&#x3c; javascript的八进制跟十六进制:如把尖括...

大数据技术 2016-07-25 AM 0条
聊聊乌云那些事

聊聊乌云那些事

WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”,在这个不做“云”不好意思和人家打招呼的时代,网络安全相关的,无论是技术还是思路都会有点黑色的感觉,所以自然出现了乌云。昨晚国内知名漏洞报告平台乌云突然关闭,涉及乌云众测,乌云社区,唐朝扫描器、三个白帽、乌云知识库、以及乌云主站。主页显示:“升级中,请稍后访问 ^_^”,随后乌云更新了《乌云及相关服务升级公告声明》。企业级互联网测试平台漏洞盒子同时宣布,暂停接受互联网漏洞与威胁情报。“白帽子”黑客报告漏洞...

网络安全 2016-07-21 PM 0条
使用powershell 进行有效钓鱼

使用powershell 进行有效钓鱼

0x00 简介Powershell是windows下面非常强大的命令行工具,并且在windows中Powershell可以利用.NET Framework的强大功能,也可以调用windows API,在win7/server 2008以后,powershell已被集成在系统当中。 除此之外,使用powershell能很好的bypass各种AV,在渗透测试中可谓是一个神器。此次使用的是开源的powershell脚本集nishang中的client来制作钓鱼文件。其中office类型文件可以达到钓鱼目的的前提是office已经启用宏。0x01制作word钓鱼文件下载powercat (pow...

网络安全 2016-07-21 PM 0条
user.ini文件构成的PHP后门

user.ini文件构成的PHP后门

0x00 背景这个估计很多同学看了不屑,认为是烂大街的东西了:.htaccess文件构成的PHP后门那么我来个新的吧:.user.ini。它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。我的nginx服务器全部是fpm/fastcgi,我的IIS php5.3以上的全部用的fastcgi/cgi,我win下的apache上也用的fcgi,可谓很广,不像.htaccess有局限性。0x01 .user.ini那么什么是.user.ini?这得从php.ini说起了。php.ini是php默认的配置文件,其中包括了很...

网络安全 2016-07-21 PM 0条
聊聊乌云那些事

聊聊乌云那些事

WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”,在这个不做“云”不好意思和人家打招呼的时代,网络安全相关的,无论是技术还是思路都会有点黑色的感觉,所以自然出现了乌云。昨晚国内知名漏洞报告平台乌云突然关闭,涉及乌云众测,乌云社区,唐朝扫描器、三个白帽、乌云知识库、以及乌云主站。主页显示:“升级中,请稍后访问 ^_^”,随后乌云更新了《乌云及相关服务升级公告声明》。企业级互联网测试平台漏洞盒子同时宣布,暂停接受互联网漏洞与威胁情报。“白帽子”黑客报告漏洞...

科技范 2016-07-20 AM 0条