XSS使WEB安全变得有生命

查看全文 »

关于Payload：<details/open/ontoggle=alert(1)>

查看全文 »

以前挖掘XSS只会测试所有的参数（非DOM型），最近在学习PHP发现原来没有参数时，也可以触发XSS

查看全文 »

客户给的测试范围，或者挖众测时，很多时候都只有一个简单的登陆框，想起当初的苦逼的我，只能去测测爆破弱口令，而且还是指定用户名爆破密码这种，当真是苦不堪言；

查看全文 »

笔者自己制作的任意密码重置的脑图

昨天从17点到21：30一下子挖了4个半小时的csrf

感觉贼爽，收获也颇丰，领悟了一套华山剑法，来快速定位csrf漏洞

昨晚挖的是一个电商的src，所以测试点也都是电商类的

添加购物车、添加收货地址、删除收货地址啥的

查看全文 »