原文地址:http://drops.wooyun.org/web/13970 0x00 前言 在第一章结尾的时候我就已经说了，这一章将会更详细的介绍前端防火墙的报警机制及代码。在一章出来后，有人会问为什么不直接防御，而是不防御报警呢。很简单，因为防御的话，攻击者会定位到那一段的JavaScript代码，从而下…继续阅读 »

原文地址:http://drops.wooyun.org/tips/14915 原文链接：http://brutelogic.com.br/blog/ 0x01 简单介绍 一个文件上传点是执行XSS应用程序的绝佳机会。很多网站都有用户权限上传个人资料图片的上传点，你有很多机会找到相关漏洞。如果碰巧是一个self XSS，你可以看看这篇文章。 （更多&h…继续阅读 »

原文地址:http://drops.wooyun.org/papers/1327 0x00 前言 在文章的开头,我想对上次发布了一个结论及其离谱但还算及时被删除了的 文章(关于跨域字符集继承的那篇)道个歉。也希望没有测试就去转载的那些人,可以把那个文章删除了。防止更多人对跨域字符集产生了错误的理解。不过作…继续阅读 »

原文地址:http://drops.wooyun.org/tips/689 目录 0x00:基本介绍 0x01:html实体编码 0x02:新增的实体编码 实体编码变异以及浏览器的某些工作原理！ 0x03:javascript编码 0x04:base64编码 0x05:闲扯 （更多…）

原文地址:http://drops.wooyun.org/papers/5797 0x00 介绍 From: MBSD Technical Whitepaper PS: MBSD是一家日本安全公司，最近好像经常分享技术文档的样子。 Cross Site Script Inclusion (XSSI) 跨站脚本包含是一种攻击技术允许攻击者通过恶意js绕过边界窃取信息。具体的说，应该是通过潜入script标签…继续阅读 »

原文地址:http://drops.wooyun.org/tips/1955 前言 译者注： 翻译本文的最初原因是当我自己看到这篇文章后，觉得它是非常有价值。但是这么著名的一个备忘录却一直没有人把它翻译成中文版。很多人仅仅是简单的把文中的各种代码复制下来，然后看起来很刁的发在各种论坛上，不…继续阅读 »

原文地址:http://drops.wooyun.org/web/11539 from:http://l0.cm/xxn/ 0x00 前言 这又是一篇来自全职赏金猎人Masato kinugawa的神作。一次双杀，用一篇报告拿下了两个CVE，分别是CVE-2015-6144和CVE-2015-6176。报告内容指出IE的XSS Filter在对XSS攻击进行屏蔽时，由于正则的匹配不当在一些场景下会让本…继续阅读 »

原文地址:http://drops.wooyun.org/web/5410 0x01 引言 前段时间搞站遇到了TRS的系统里面涉及到了ws（Web Services简称）的相关技术，不久前玩一个xx酒店的时候又通过ws进入了它的数据库，后来接连遇到或看见一些app服务和物联网相关系统中出现XML相关漏洞，于是搜索相关资料做技术积累…继续阅读 »

原文地址:http://drops.wooyun.org/papers/1472 from：http://www.cis.syr.edu/~wedu/Research/paper/xds_attack.pdf 0x00 摘要 基于HTML5的移动应用程序变得越来越于流行，主要是因为他们更容易在不同的移动平台进行移植。基于HTML5的应用程序使用标准的Web技术，包括HTML5 ， JavaScript和CSS;它们依赖于一…继续阅读 »

原文地址:http://drops.wooyun.org/news/8864 作者： 蒸米，迅迪 @阿里移动安全 0x00 序 [email protected]/* */_boy在微博上发了一条微博说到：一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码，会向一个网站上传数据，目前已知两个知名的 App 被…继续阅读 »