李志宽 李志宽
3年前
电脑关机了,内存就没数据了吗?
前言:大家好,我是周杰伦。提到网络攻击技术,你脑子里首先想到的是什么?是DDoS?是SQL注入、XSS?还是栈溢出、RCE(远程代码执行)?这些最常见的网络攻击技术,基本上都是与网络、软件、代码、程序这些东西相关。这也好理解,计算机网络安全,不跟这有关,还与什么有关系?今天跟大家介绍一下,攻击技术,除了这些,还有一些脑洞大开的方式,它们可能跟时间、震动、频率
Stella981 Stella981
3年前
JWT攻击手册:如何入侵你的Token
JSONWebToken(JWT)对于渗透测试人员而言,可能是一个非常吸引人的攻击途径。因为它不仅可以让你伪造任意用户获得无限的访问权限,而且还可能进一步发现更多的安全漏洞,如信息泄露,越权访问,SQLi,XSS,SSRF,RCE,LFI等。首先我们需要识别应用程序正在使用JWT,最简单的方法是在代理工具的历史记录中搜索JWT正则表达式:
李志宽 李志宽
3年前
电脑关机了,内存就没数据了吗?
大家好,我是周杰伦。提到网络攻击技术,你脑子里首先想到的是什么?是DDoS?是SQL注入、XSS?还是栈溢出、RCE(远程代码执行)?这些最常见的网络攻击技术,基本上都是与网络、软件、代码、程序这些东西相关。这也好理解,计算机网络安全,不跟这有关,还与什么有关系?今天跟大家介绍一下,攻击技术,除了这些,还有一些脑洞大开的方式,它们可能跟时间、震动、频率、温度
Wesley13 Wesley13
3年前
.net 2.0 4.0 表单中危险字符
asp.net中“从客户端中检测到有潜在危险的Request.Form值”错误的解决办法在提交表单时候,asp.net提示:"从客户端(......)中检测到有潜在危险的Request.Form值"。asp.net中的请求验证特性提供了某一等级的保护措施防止XSS攻击,asp.net的请求验证是默认启动的。这里给出不同版本.net的解决方法。
Wesley13 Wesley13
3年前
DOM
跨站脚本攻击(Crosssitescripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。可以分为反射型、存储型、DOM型等,本文主要讲解DOMXSS漏洞挖掘与攻击面延申。接下来就开门见山,讲解干货吧。DOMXSS典型应用场景
Wesley13 Wesley13
3年前
PHP代码层防护与绕过
0x01前言在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代码进行分析。Bypass思路:利用数据库特性或过滤函数逻辑缺陷绕过。0x02关键字过滤
Stella981 Stella981
3年前
Node.js 入门系列——寻找第三方模块
1、知道模块名,寻找模块的文档在看别人的代码或者文章的时候,经常会遇到自己没用过的第三方模块,怎么办呢?其实很简单,你只要在浏览器中输入网址 https://npmjs.org/package/模块名称 ,即可进入这个模块的介绍页面。比如,别人的源码中出现一行 varxssrequire('xss') 
Stella981 Stella981
3年前
JVM优化之
XmnXmsXmxXss有什么区别Xmn、Xms、Xmx、Xss都是JVM对内存的配置参数,我们可以根据不同需要区修改这些参数,以达到运行程序的最好效果。\Xms堆内存的最小大小,默认为物理内存的1/64\Xmx堆内存的最大大小,默认为物理内存的1/4\Xmn堆内新生代的大小。通过这个值也可以得到老
Stella981 Stella981
3年前
JVM常用命令参数
(1)Xms20M表示设置JVM启动内存的最小值为20M,必须以M为单位  m:memory(2)Xmx20M表示设置JVM启动内存的最大值为20M,必须以M为单位。将Xmx和Xms设置为一样可以避免JVM内存自动扩展。(3)verbose:gc表示输出虚拟机中GC的详细情况(4)Xss128k表示可以设置虚拟机栈的大
逻辑漏洞挖掘之XSS漏洞原理分析及实战演练 | 京东物流技术团队
一、前言2月份的1.2亿条用户地址信息泄露再次给各大公司敲响了警钟,数据安全的重要性愈加凸显,这也更加坚定了我们推行安全测试常态化的决心。随着测试组安全测试常态化的推进,有更多的同事对逻辑漏洞产生了兴趣,本系列文章旨在揭秘逻辑漏洞的范围、原理及预防措施,逐