原创 XSS Funny Vector Review
<isindex formaction=javascript:alert(/sogili/) type=submit > HTML3與HTML5混搭 x<oval style=behavior:url(#default#vml);he
2020-06-24 00:48:00
原创 備忘:Visio2013中插入公式
1.在Word2013中插入公式,編輯完成後,複製 2.在Visio空白處右鍵,選擇“選擇性粘貼”,再在彈出窗口中選擇“Microsoft Word文檔”,即可 效果圖:
2020-06-23 23:51:29
原创 Python刷CSDN博客腳本v2.0
__author__ = 'change' # coding=utf-8 """ ** Python Blog's Visit Count V2.0 ** (V1.0 http://blog.csdn.net/change518/
2020-06-11 02:17:48
原创 PHP magic_quotes_gpc的詳細使用方法
1. 條件: PHP magic_quotes_gpc=off 寫入數據庫的字符串未經過任何過濾處理。從數據庫讀出的字符串也未作任何處理。 數據: $data="snow''''sun" ; (snow和sun之間是四個連續的單引號).
2020-02-21 15:57:22
原创 使用HTML5和JS-Recon進行端口掃描
這是一個發表在BlackHat大會上的最新話題。HTML5有兩個API可以實現跨域的調用:Cross Origin Requests和WebSockets。JavaScript可使用其與任何IP、任意端口(被阻止的除外)進行連接,這使其成
2020-02-21 15:57:22
原创 PHP5.4中刪除的安全函數
前幾天配置PHP5.4的時候發現PHP新版已經在一些安全函數方面進行了增改,從php自身防止一些不必要的漏洞,因此開發人員在寫代碼時也需要注意版本的兼容。下面講幾個涉及安全方面的函數進行說明。 1、safe_mode 狀態:已刪除 描述
2020-02-21 15:57:11
原创 Windows80端口被佔用解決辦法
今天有需求要把原來WAMP的8080端口改成80,配置完httpd.conf後,發現Apache服務無法啓動,查看端口發現80端口已被佔用,我電腦中沒啓動IIS服務的,而且還是System進程(PID==4)佔用的,如圖 WAMP中測試
2020-02-21 15:57:11
原创 Web應用裏的HTTP參數污染(HPP)漏洞
HPP是HTTP Parameter Pollution的縮寫。這個漏洞由S. di Paola 與L. Caret Toni在2009年的OWASP上首次公佈。這也是一種注入型的漏洞,攻擊者通過在HTTP請求中插入特定的參數來發起攻擊
2020-02-21 15:57:11
原创 無指定協議名時,瀏覽器對URL的解析
在瀏覽器地址欄,直接輸入的URL中,如果未指定協議名,如http、https等,瀏覽器會自動解析爲http 如:輸入 //www.baidu.com/,瀏覽器會自動解析到:http://www.baidu.com/ 但在html元素中,
2020-02-21 15:57:11
原创 關於滲透測試
今天看到某安全公司網站上有關滲透測試的內容,感覺不錯,轉了過來 原文:http://cimersec.w92.mc-test.com/index.php/Profession/view/id/9 滲透測試,是指爲了對客戶目標網絡的安全
2020-02-21 15:57:11
原创 CSDN博客去圖片水印
剛剛寫博客,上傳圖片的時候忘了選“無水印”了,帶水印看着很不爽(水印是阻礙人類進步的最大障礙),於是又重新上傳了一遍,結果發現了其中的不同: 水印與非水印惟一的不同就是帶水印的圖片比不加水印的圖片URL後面中多了 ?watermark/
2020-02-21 15:57:11
原创 jsonp詳解
json相信大家都用的多,jsonp我就一直沒有機會用到,但也經常看到,只知道是“用來跨域的”,一直不知道具體是個什麼東西。今天總算搞明白了。下面一步步來搞清楚jsonp是個什麼玩意。 同源策略 首先基於安全的原因,瀏覽器是存在同源策
2020-02-21 15:57:11
原创 Javascript中parseInt在XSS中的應用
XSS挑戰賽第12題:http://prompt.ml/12,用了parseInt這個函數,感覺是一個很好玩的東西 原題: function escape(input) { // in Soviet Russia... i
2020-02-21 15:57:10
原创 嵌入式CSS或script中標籤閉合對引號的突破
先看CSS: 直接上代碼: <!DOCTYPE html> <html> <head> <title></title> <style type="text/css"> test{ background: url('http:/
2020-02-21 15:57:10
原创 src屬性在IE6下的特性
看這段代碼: <img src="java script:alert(1)"> <a href="java script:alert(2)"> <iframe src="java script:alert(3)">*注意上面src和
2020-02-21 15:57:10