跨域安全与 UI 补偿攻击:JSONP 数据劫持与点击劫持深度解析 跨域安全与 UI 补偿攻击:JSONP 数据劫持与点击劫持深度解析 JSONP(JSON with Padding)是一种用于解决跨域数据请求的变通方案,核心原理是利用 <script> 标签的跨域特性绕过同源策略。通过将返回内容包裹在回调函数中,使得数据以 JavaScript 的形式被执行。 JSONP 点击劫持漏洞 JSONP(JSON with Paddin 2026-01-09 top10 7 Administrator
XSS 绕过实战:编码变形、标签混淆与 CSP/WAF 绕过全攻略 XSS 绕过实战:编码变形、标签混淆与 CSP/WAF 绕过全攻略 XSS 绕过过滤的思路 在 XSS(跨站脚本攻击) 测试和绕过过滤时,通常会遇到各种安全机制,如 WAF(Web应用防火墙)、输入验证、编码过滤等。以下是一些常见的绕过思路,帮助你在渗透测试时提高 XSS 攻击成功率。 1. 编码绕过 (1)URL 编码 部分 WAF 可能不会解码 URL 编码的输 2026-01-09 Web安全 6 Administrator
Web 安全防御指南:CSP、HttpOnly 与 XSS Filter 深度解析 Web 安全防御指南:CSP、HttpOnly 与 XSS Filter 深度解析 XSS 跨站 — 安全防御:CSP / HttpOnly / XSSFilter 下面整理了三类常见的 XSS 防御技术:CSP(Content Security Policy)、HttpOnly Cookie 与基于过滤/编码的 XSS 过滤器,包含原理、实践配置、实验提示与常见绕过/注意点。 一 2026-01-09 XSS 8 Administrator
XSS 跨站脚本深度利用:凭据盗取、业务数据提交、钓鱼攻击与溯源工具指南 XSS 跨站脚本深度利用:凭据盗取、业务数据提交、钓鱼攻击与溯源工具指南 XSS 跨站 — 攻击利用:凭据盗取 / 数据提交 / 网络钓鱼 / 溯源综合 漏洞原理:接受输入数据,输出显示数据后解析执行。 基础类型:反射(非持续)、存储(持续)、DOM-BASE。 拓展类型:jquery、mxss、uxss、pdfxss、flashxss、上传xss 等。 常用资料:htt 2026-01-09 Web安全 4 Administrator
XSS 进阶实战:MXSS、UXSS 以及 SVG/PDF/Flash 等非传统载体解析 XSS 进阶实战:MXSS、UXSS 以及 SVG/PDF/Flash 等非传统载体解析 XSS 进阶:MXSS / UXSS / SVG / PDF / SWF 等载体与复现方法 下面整理一些进阶 XSS 载体与攻击面,包括 MXSS、UXSS(浏览器或扩展层面的 XSS)、以及 SVG、PDF、Flash(SWF) 等非传统图片/文件格式作为 XSS 载体的原理与示例。 MXSS & 2026-01-09 Web安全 4 Administrator
XSS 跨站脚本攻击详解:原理、分类、实战检测与安全防御全指南 XSS 跨站脚本攻击详解:原理、分类、实战检测与安全防御全指南 XSS 跨站 — 输入/输出、原理、分类与闭合 漏洞概述 XSS(跨站脚本)本质上是:接收外部输入 → 输出到页面并被浏览器解析/执行。根据输入/输出的保存与执行位置,XSS 可以分为反射型、存储型、DOM 型等。 漏洞原理 原理简述:应用接收不可信输入并在输出时未做适当处理(或客户端脚本不安全地使 2026-01-09 Web安全 8 Administrator