0x24bin's Blog

XSS备忘录 0x00 渗透流程 观察输入输出点，测试waf过滤情况 简单: "'<script javascript onload src><a href></a>#$%^ 全面: '";!-=#$%^&{()}<script javascript data onload href src img input><a href></a>alert(String.fromCharCode(88,83,83));prompt(1);confirm(1)</script> 观察输入输出情况，一些特殊字符是否被编码、标签是否被过滤、输出...

注：本文为“小米安全中心”原创，转载请联系“小米安全中心” 上期回顾：安全扫描自动化检测平台建设（Web黑盒中） 扫描云平台架构设计 随着互联网业务的高速发展，企业业务的快速扩张，传统的安全扫描器已经远远不能跟上企业的脚步，一方面是使用门槛和成本较高，需要专业的安全人员才能使用并发现安全问题，另一方面，传统的以产品为主的交付方式对于互联网企业使用上也存在滞后性，漏洞爆发以后，互联网企...

注：本文为“小米安全中心”原创，转载请联系“小米安全中心” 上期回顾：HTTPS原理科普 Web扫描平台的发展 1.原始社会 在Web安全兴起的初期，国内的工具相应缺乏，笔者曾经获取一个注入点数据库的MD5需要手工注入半天时间。 于是相应的安全扫描自动化工具应运而生，其中杰出代表莫过于啊D，穿山甲，和JSKY。感谢前辈给我们创造的自动化工具。这几款工具，可以列入中国网络安全的发展历史。 2.拿来主义 国内乙...

看过程能让你更了解如何的安全编码，看文中红字结果让你知道防范措施。 什么是CSRF 跨站请求伪造 CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。 那么CSRF到底能够干嘛呢？你可以这样简单的理解：攻击者可以盗用你的登陆信息，以你的身份模拟发送各种请求。攻击者只要借助少许的社会工程学的诡计，例如通过QQ等聊天软件发...

渗透测试中，第一阶段就是信息搜集，这一阶段完成的如何决定了你之后的进行是否顺利，是否更容易。而关于信息收集的文章网上也是有太多。今天我们来通过一些例子来讲解如何正确使用Shodan这一利器。          想要利用好这一利器，首先得知道他是什么，Shodan是一款网络空间搜索引擎，和我们常见的百度谷歌不同，他主要搜索的是存在于互联网中的设备，服务器、摄像头、工控设备、智能家居等，都是他的目标...