浏览器内容嗅探机制
通过Web方式访问的时候,Content-Type是文件类型最权威的描述。此时文件扩展名在大多数情况下都会被忽略。
浏览器JavaScript脚本处理模型
每段JavaScript代码块都是按顺序 自成体系处理的。
JavaScript模板字面量与XSS
alert`1`为什么这个Payload中可以用反引号代替括号。
JavaScript定时器与XSS
setTimeout()和setInterval()可以用来注册在指定的时间之后单次或重复调用的函数。由于历史原因,第一个参数可以作为字符串传入,相当于执行eval(),因此可以作为XSS Payload使用。
A0xpg师傅成长路线——开发转网络安全
勤奋、细心、信心、攻击面
惨~
刚刚在清除垃圾评论的时候一不小心把所有评论都删除了。。尴尬还有,Paper中的一些图片放在了国外的服务器,被墙了,所以需要扶墙。。
Windows guest用户在渗透测试中的用途
添加用户时,会触发防火墙,启用guest用户并且追加到administrators组时,不会触发防火墙
碰到一个问题解决一个,好似永远的无底洞
2018/12/08,我问师傅某个XSS的BYPASS
首页403照本宣读
网站首页403 => siteOMAIN=> 偶遇野生Oracle注入一枚。同一主机。诸多web端口无法直接访问 => site:IP => 偶遇野生struts2命令执行进内网。