.
.
.
.
.
.
文档搜索
搜索
分类
上传
我的
请输入搜索关键字
今日推荐
基础设施与网络
系统与软件
more
GandCrabV5.0.3的JS脚本详细分析报告
抱歉,无法读取该文件。请更新其他文件,我可以为你进行总结。
2025-08-27 06:17:19
0
通过拆分攻击实现的SSRF攻击
该文档没有简介
2025-08-27 06:16:59
0
通过拆分攻击实现的SSRF攻击
# 通过拆分攻击实现的SSRF攻击技术分析 ## 前言 本文详细分析了一种通过HTTP请求拆分实现的服务器端请求伪造(SSRF)攻击技术,该漏洞源于Node.js对Unicode字符的错误处理,导致攻击者可以构造特殊请求绕过安全限制。 ## 漏洞背景 ### Node.js的Unicode字符处理缺陷 在Node.js 8及更早版本中,当处理HTTP请求路径中的Unicode字符时存在以下问题: 1. 对于不包含主体的请求(如GET/DELETE),Node.js默认使用"latin
2025-08-27 06:16:59
0
Python中从服务端模板注入到沙盒逃逸的源码探索 (一)
该文档没有简介
2025-08-27 06:16:07
0
Python中从服务端模板注入到沙盒逃逸的源码探索 (一)
# Python服务端模板注入(SSTI)与沙盒逃逸技术深度解析 ## 一、服务端模板注入(SSTI)基础概念 服务端模板注入(SSTI)是一种通过在服务端的模板文件或模板字符串中注入恶意代码导致代码执行的漏洞攻击方式。不同模板引擎根据其解析方式存在不同的利用方法。 ### 关键特征: - 模板引擎通常具有沙盒和命名空间机制 - 代码解析执行发生在有限的沙盒环境中 - 沙盒逃逸是SSTI攻击的关键环节 ## 二、Python主流模板引擎分析 ### 1. Tornado模板引擎 ##
2025-08-27 06:16:07
0
通过劫持HTML画布和PNG图像来存储任意文本数据
该文档没有简介
2025-08-27 06:05:03
0
通过劫持HTML画布和PNG图像来存储任意文本数据
# 利用HTML画布和PNG图像存储任意文本数据的完整指南 ## 1. 背景与需求 在某些Web应用场景中,我们需要在不依赖cookie、本地存储或服务器端存储的情况下实现数据保存/加载功能。本文介绍了一种创新方法:通过劫持HTML画布和PNG图像来存储任意文本数据。 ### 1.1 传统方法的局限性 - 使用数据URL和下载属性的方法在桌面浏览器有效 - 移动版Safari浏览器会忽略download属性,导致数据直接显示而非下载 - 二维码方案因解码复杂和库体积过大而被放弃 ###
2025-08-27 06:05:03
0
深入了解Web应用客户端注入攻击
该文档没有简介
2025-08-27 06:04:10
0
深入了解Web应用客户端注入攻击
# Web应用客户端注入攻击深度解析 ## 一、客户端注入攻击概述 Web应用程序在与用户交互过程中,若未对用户输入进行适当处理,可能导致多种客户端注入攻击。这些攻击技术主要包括: 1. HTML注入攻击 2. CSS注入攻击 3. 客户端URL重定向攻击 4. 基于DOM的客户端脚本攻击 ## 二、HTML注入攻击 ### 攻击原理 当攻击者能够将HTML标签注入表单并最终存储到数据库中时,就会出现HTML注入漏洞。典型场景如博客评论系统、留言板等。 ### 攻击示例 1. **基
2025-08-27 06:04:10
0
XSS小结
该文档没有简介
2025-08-27 06:03:17
0
XSS小结
# XSS(跨站脚本攻击)全面解析与防御指南 ## 一、XSS基础概念 ### 1.1 定义 XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。XSS是一种注入型攻击,攻击者在可信网页中嵌入恶意代码,当用户访问该网页时触发攻击。 ### 1.2 危害 XSS攻击可造成多方面危害: - 网络钓鱼,获取各类用户账号 - 窃取用户cookies资料,获取隐私信息 - 劫持用户会话
2025-08-27 06:03:17
0
通过HTML画布和Javascript代码从被劫持的PNG图像中提取数据
该文档没有简介
2025-08-27 06:02:11
0
1
...
523
524
525
526
527
528
...
1000
跳转到
页
确定
请选择文档类型
全部
请选择文档类型
注册 / 登录
夜间主题
搜索
分类
上传
我的
