乌云drops - 永久存档

XSS挑战第二期 Writeup – mramydnei

原文地址:http://drops.wooyun.org/papers/938 0x00前言 之前搞了一期感觉反响挺好的,就又搞了一期。不过说实话审核起来很吃力,因为大家的答案都太给力了。所以在接下来的解释文当中如果出现错误,希望各位看官可以不吝指正。可能参与的人,都发现了这期的核心问题就是【没…继续阅读 »
乌云drops - 永久存档

XSS报警机制(前端防火墙:第二篇) – Black_Hole

原文地址:http://drops.wooyun.org/web/13970 0x00 前言 在第一章结尾的时候我就已经说了,这一章将会更详细的介绍前端防火墙的报警机制及代码。在一章出来后,有人会问为什么不直接防御,而是不防御报警呢。很简单,因为防御的话,攻击者会定位到那一段的JavaScript代码,从而下…继续阅读 »
乌云drops - 永久存档

XSS姿势——文件上传XSS – Zeroyu

原文地址:http://drops.wooyun.org/tips/14915 原文链接:http://brutelogic.com.br/blog/ 0x01 简单介绍 一个文件上传点是执行XSS应用程序的绝佳机会。很多网站都有用户权限上传个人资料图片的上传点,你有很多机会找到相关漏洞。如果碰巧是一个self XSS,你可以看看这篇文章。 (更多&h…继续阅读 »
乌云drops - 永久存档

XSS和字符集的那些事儿 – mramydnei

原文地址:http://drops.wooyun.org/papers/1327 0x00 前言 在文章的开头,我想对上次发布了一个结论及其离谱但还算及时被删除了的 文章(关于跨域字符集继承的那篇)道个歉。也希望没有测试就去转载的那些人,可以把那个文章删除了。防止更多人对跨域字符集产生了错误的理解。不过作…继续阅读 »
乌云drops - 永久存档

XSS与字符编码的那些事儿 —科普文 – 0x_Jin

原文地址:http://drops.wooyun.org/tips/689 目录 0x00:基本介绍 0x01:html实体编码 0x02:新增的实体编码 实体编码变异以及浏览器的某些工作原理! 0x03:javascript编码 0x04:base64编码 0x05:闲扯 (更多…)
乌云drops - 永久存档

XSSI攻击利用 – 大学生

原文地址:http://drops.wooyun.org/papers/5797 0x00 介绍 From: MBSD Technical Whitepaper PS: MBSD是一家日本安全公司,最近好像经常分享技术文档的样子。 Cross Site Script Inclusion (XSSI) 跨站脚本包含是一种攻击技术允许攻击者通过恶意js绕过边界窃取信息。具体的说,应该是通过潜入script标签…继续阅读 »
乌云drops - 永久存档

XSS Filter Evasion Cheat Sheet 中文版 – 老道

原文地址:http://drops.wooyun.org/tips/1955 前言 译者注: 翻译本文的最初原因是当我自己看到这篇文章后,觉得它是非常有价值。但是这么著名的一个备忘录却一直没有人把它翻译成中文版。很多人仅仅是简单的把文中的各种代码复制下来,然后看起来很刁的发在各种论坛上,不…继续阅读 »
乌云drops - 永久存档

XSS Attacks – Exploiting XSS Filter – mramydnei

原文地址:http://drops.wooyun.org/web/11539 from:http://l0.cm/xxn/ 0x00 前言 这又是一篇来自全职赏金猎人Masato kinugawa的神作。一次双杀,用一篇报告拿下了两个CVE,分别是CVE-2015-6144和CVE-2015-6176。报告内容指出IE的XSS Filter在对XSS攻击进行屏蔽时,由于正则的匹配不当在一些场景下会让本…继续阅读 »
乌云drops - 永久存档

XML安全之Web Services – L.N.

原文地址:http://drops.wooyun.org/web/5410 0x01 引言 前段时间搞站遇到了TRS的系统里面涉及到了ws(Web Services简称)的相关技术,不久前玩一个xx酒店的时候又通过ws进入了它的数据库,后来接连遇到或看见一些app服务和物联网相关系统中出现XML相关漏洞,于是搜索相关资料做技术积累…继续阅读 »
乌云drops - 永久存档

XDS: Cross-Device Scripting Attacks – 夺吻狂魔

原文地址:http://drops.wooyun.org/papers/1472 from:http://www.cis.syr.edu/~wedu/Research/paper/xds_attack.pdf 0x00 摘要 基于HTML5的移动应用程序变得越来越于流行,主要是因为他们更容易在不同的移动平台进行移植。基于HTML5的应用程序使用标准的Web技术,包括HTML5 , JavaScript和CSS;它们依赖于一…继续阅读 »