爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

一些BAT的XSS实例（六）续集篇

# Nginx解析特性与XSS绕过技术详解 ## 前言本文基于BAT XSS实例系列的第11、12题，深入分析利用Nginx解析特性进行XSS绕过的技术细节。这两道题目展示了如何结合服务器解析规则、JavaScript语法特性和路径处理机制来实现XSS攻击。 ## 基础知识 ### location.pathname属性 `location.pathname`返回URL中域名后的路径部分，不包括hash(#)和search(?)部分。参考文档： - [菜鸟教程 - locatio

2025-08-26 10:02:55

API安全漏洞靶场crapi的基本介绍和解题思路-第二篇

该文档没有简介

2025-08-26 09:51:57

API安全漏洞靶场crapi的基本介绍和解题思路-第二篇

# API安全漏洞靶场crapi实战指南（第二篇） ## 1. 批量分配漏洞（Mass Assignment） ### 漏洞原理批量分配漏洞发生在应用程序将客户端提供的数据（如JSON）直接绑定到数据模型，而没有基于白名单进行适当的属性筛选时。攻击者可以通过修改请求中的对象属性来操纵不应被修改的数据。 ### 挑战8：免费获取商品 **漏洞利用**： 1. 通过API返回发现商品的不同状态 2. 修改订单编号参数 3. 将订单状态改为"运输中"即可免费获取商品 ### 挑战9：增加账

2025-08-26 09:51:57

一些BAT的XSS实例（五）最终篇

该文档没有简介

2025-08-26 09:51:16

一些BAT的XSS实例（五）最终篇

# BAT XSS实例分析（六）高级绕过技术详解 ## 一、题目背景这是BAT XSS实例系列中最难的第六题，主要考察在强过滤条件下的XSS绕过技术。题目特点： - 参数从2个变为1个（uin） - 路径中去掉了问号字符 - 参数会进行一次URL解码操作 - 存在严格的过滤机制 ## 二、题目分析 ### 初始尝试 1. 基本构造尝试： ``` http://px1624.sinaapp.com/test/xsstest6/?#uin=../test/xsstest6/us

2025-08-26 09:51:16

该文档没有简介

2025-08-26 09:50:20

# NodeJS安全漏洞分析与利用指南 ## 一、NodeJS基础特性 ### 1. 大小写转换特性 - `toUpperCase()`特殊转换： ```javascript "ı".toUpperCase() == 'I' "ſ".toUpperCase() == 'S' ``` - `toLowerCase()`特殊转换： ```javascript "KK".toLowerCase() == 'k' ``` ### 2. 弱类型比较 - 数字与字符串比较：

2025-08-26 09:50:20

某路由器固件模拟分析及栈溢出漏洞分析

该文档没有简介

2025-08-26 09:49:01

某路由器固件模拟分析及栈溢出漏洞分析

# 路由器固件模拟分析及栈溢出漏洞利用教学文档 ## 1. 概述本教学文档详细介绍了Tenda路由器固件模拟分析过程以及栈溢出漏洞(CVE-2018-5767)的利用方法。文档包含固件模拟环境搭建、网络环境修复、漏洞分析及利用的全过程。 ## 2. 固件模拟环境搭建 ### 2.1 准备工作 1. 获取固件： - 从IoT-vulhub仓库下载：https://github.com/VulnTotal-Team/IoT-vulhub/tree/master/Tenda/CVE-

2025-08-26 09:49:01

Nginx配置不当可能导致的安全问题

该文档没有简介

2025-08-26 09:47:48

Nginx配置不当可能导致的安全问题

# Nginx配置不当可能导致的安全问题详解 ## 0x00 Nginx配置文件结构概述 Nginx的主配置文件采用层级组织方式，主要结构如下： ``` # 全局块（main） events { # events块 } http { # http块 # http全局块 server { # server块 # server全局块 location [PATTERN] { # location块 # 配置内

2025-08-26 09:47:48

.NET高级代码审计（第四课） JavaScriptSerializer反序列化漏洞

该文档没有简介

2025-08-26 09:47:05

跳转到页