xss 一点总结
我不是很理解 xss 这个词: Cross-site scripting ,它怎么就跟跨站勾搭上了呢?
xss 输入/输出
网页是xss的舞台,要达成 xss 攻击,首先必须找到页面中可以注入代码的地方(注入点),而且网页必须要有执行注入代码的地方(输出点)。
继续阅读 »
http://test.xss.tv
http://47.94.13.75/test/
test on Firefox 54.0 (64-bit)
Level1
```javascript
view-source:http://47.94.13.75/test/level1.php?name=test
欢迎用户test
直接在文本中输出用户提交的变量
http://47.94.13.75/test/level1.php?name=alert()
收获:为HTML body添加标签。
```
Level2
```javascript
view-source:http://47.94.13.75/test/level2
继续阅读 »
Web 安全 - XSS / CSRF
介绍
XSS注入与防御
注入例子
防御
介绍
跨站脚本攻击(Cross Site Scripting)。 恶意攻击者往Web页面里插入恶意Script代码,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的
继续阅读 »
非xss题 但是欢迎留言~
地址:get the flag
读取源码
在页面底部发现一个这样的链接:http://cms.nuptzj.cn/about.php?file=sm.txt ,说明题目提供了读取文件功能,如果使用 file://协议 读取,HTML预留字符会以字符实体显示,看起来不方便,所以也可以编码读取后再本地解码。
```php
http://cms.nuptzj.cn/about.php?file=php://filter/convert.base64-encode/resource=filename
在拿到的文件里搜索 ".php" ,顺藤摸瓜,能找到并读取到的文件有:
sm.txt
about.p
继续阅读 »
在linux普通用户下面,使用daemon进行设置tomcat在普通用户下开机启动,但是之前tomcat的编码是正常的,但是使用了该插件后,日志出现了乱码,解决方案如下:
在daemon.sh中加入一下代码:
```
CHANGE BY PHPDRAGON
Repair of Tomcat container Garbled problem
CATALINA_OPTS="$CATALINA_OPTS -Dfile.encoding=UTF-8"
Tomcat optimization
JAVA_OPTS="$JAVA_OPTS -server -Xms2560m -Xmx2560m -Xss1280k -XX:Perm
继续阅读 »