腾讯某处xss，直接获取用户登陆权限 by灰客 | 2016-01-25 18:01 …继续阅读 »

通用性安全问题奖励计划（初定） xsser | 2013-04-24 19:06 …继续阅读 »

通用性软件安全漏洞奖励计划 xsser | 2013-05-05 15:00 …继续阅读 »

团队功能开放注册&优秀团队奖励规则征集 浩天 | 2016-03-04 18:45 …继续阅读 »

网上发现的apk攻防脑图 rootsecurity | 2016-03-16 15:20 …继续阅读 »

整理了下XSS测试脚本 <!-- " --!><input value="><img src=xx:x onerror=alert(1)//"> <script/onload=alert(1)></script> IE9 <style/onload=alert(1)> alert([0x0D]-->[0x0D]1<!--[0x0D]) 1<!--i document.write('<img src="<iframe/onload=alert(1)>\0">'); IE8 JSON.parse('{"__proto__":["a",1]}') location++ I…继续阅读 »

网站的openAPI接口被CC了有什么好的解决方案？ 悬赏 1 WB（已解决） erevus | 2015-11-10 21:42 …继续阅读 »

为什么会有免费代理？ 五道口杀气 | 2015-01-04 12:14 …继续阅读 »

猥琐流之"关注我吧" 主要说一下问世多年却一直没被重视的"点击劫持". 应用场景: 1.社区的关注功能,在WEB2.0时代"关注我"已经成为一个社区必备功能,被关注的愈多在社区的影响力往往也愈大. 点击劫持科普: 简单来说就是在一个网页内再嵌入一个要攻击的网站,把这个嵌入的网站设置为透…继续阅读 »

猥琐流之webkit神跨域 这个技巧再之前的文章中有过一些描述,这里主要进行详细的说明.利用document.domain进行跨域大家再熟悉不过了,腾讯所有的主业务基本上都用了这个玩意跨子域. webkit的document.domain设置机制科普: document.domain设置时只能往域名的上一级进行设置,例如www.mmme.me可以设置成mm…继续阅读 »