• 欢迎访问挑战自我博客网站,安全研究,web渗透,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入挑战自我博客网站 网站主页

标签:web

WEB

实战XSS中遇到的一个过滤绕过

实战XSS中遇到的一个过滤绕过
1、文章背景出差好几天,今天刚回来,一遍总结这几天的收获,一边把这一周落下的工作补一下。XSS平台回报一个站点有XSS,初步一看没有发现什么新鲜的,感觉随意玩。但是仔细一写POC提交的时候,发现还是了一点点有意识的地方,这边记录一下。2、文章过程随着大家的资安意识越来越高,现在好多站点都上了WAF,过滤了一大批像我这类脚本小子~~~~,清楚明白自己的不……继续阅读 »

挑战自我 1个月前 (08-18) 167浏览 0评论6个赞

TZ-SCAN

TZ-SCAN多功能WEB渗透测试工具发布

TZ-SCAN多功能WEB渗透测试工具发布
Github地址https://github.com/linxi0428/TZ-SCAN免责申明为避免 TZ-SCAN 被恶意利用,开源版本只放出了简单的探测规则,无法用作为黑客入侵工具。请使用者遵守《中华人民共和国网络安全法》,勿将 TZ-SCAN 用于未授权的测试,参与项目的社区成员/挑战自我博客作者不负任何连带法律责任。TZ-SCANTZ-S……继续阅读 »

挑战自我 1年前 (2017-09-23) 771浏览 0评论7个赞

挖洞经验

发送邮件过程中的html代码注入

发送邮件过程中的html代码注入
1、漏洞简介unikrn.com公司的邮件系统在发送邮件的过程中存在HTML注入漏洞,注入的位置在用户个人配置信息的first name字段2、漏洞详情当post访问如下页面时,由于缺乏对数据的过滤以及验证,用户可以将一些个人配置信息字段设置成不合法的数值,这可能导致在网站的一些抽奖区(raffle)的XSS漏洞,以及发送邮件时的HTML注入漏洞。……继续阅读 »

挑战自我 1年前 (2017-08-24) 671浏览 0评论12个赞