0x24bin's Blog

XSS测试中，经常需要用到不同的编码，同时对于不同位置的输出，其可用的编码，以及编码方式都有不同，这里转载一篇介绍比较详细的html与js的解码机制，以便加深记忆 关于这个自解码机制，我们直接以一个例子（样例0）来进行说明： <input type="button" id="exec_btn" value="exec" onclick="document.write ('<img src=@ onerror=alert(123) />')" /> 我们假设document.write里的值是用户...

RC 候选版本 重要提示 欢迎反馈 OWASP计划在2017年6月30日公共评议期结束后，于2017年7月或者8月公布OWASP Top 10 - 2017年度的最终公开发布版。 该版本的OWASP Top 10标志着该项目第十四年提高应用安全风险重要性的意识。该版本遵循2013年更新，2013版的Top 10主要变化是添加了2013-A9使用含有已知漏洞的组件。我们很高兴看到，自2013版Top 10以来，随着自由和商业...

0x00 前言 随着国家安全法的出台，网络安全迎来发展的新时期，越来越多企业或政府单位开始重视网络安全。很多网站陆陆续续告别裸奔时代，开始部署web应用防火墙（WAF）以应对网络攻击。由此，相关网站的安全性很大程度上取决于WAF的防护能力，WAF攻防研究已成为安全从业人员的必修课之一。 大多数WAF以规则匹配为基础进行安全防护，少数WAF带有自学习能力，规则维护成为WAF的核心。近年来，基于语义识别的W...

Web应用程序防火墙（WAF）的主要作用是过滤，监控和阻止各类进出Web应用程序的HTTP流量。WAF区别于常规防火墙，因为WAF能够过滤特定Web应用程序的内容，而常规防火墙充当的则是服务器之间的安全门。通过检查HTTP流量，它可以防止源自Web应用安全漏洞的攻击，如SQL注入，XSS，文件包含和安全配置错误。 WAF是如何工作的？ 协议异常检测：拒绝不符合HTTP标准的请求 增强的输入验证：代理和服务器端验证，而...

Arachni是一个基于Ruby on Rails框架的Web安全漏洞扫描工具。 1. Ruby on Rails Ruby on Rails ，缩写ROR，是一个Web框架，包括两部分内容： Ruby 语言和 Rails 框架。Ruby一直以来流行于日本，直到2004年，26 岁的丹麦人 David Heinemeier Hansson 提出了Web框架 - Rails。这才让全世界人们，开始了解Ruby和Rails的灵活与高效。 1.1 Ruby 日本人松本行弘（ Matsumoto Yukihiro），在 1993 年开始着手...