12
2018
04

XSS小记:记一次绕过知道创宇加速乐实现反射XSS的payload

测试网站XSS,时常会碰到搜索框未过滤敏感字符导致反射XSS,大致描述一下漏洞场景:

      1.搜索框的关键词被带入到 URL和页面中

      2.敏感字符(引号/尖括号)完全没有过滤,各种html标签,js事件完全不检测

03
2018
04

XML之Javascript DOM复习以及XXE漏洞的理解

        今天想学习一下XEE(xml实体注入)漏洞,所以先学习了一下xml语法,在菜鸟教程上看了会资料,对xml的一些总结如下:xml 相比 html,前者的作用是存储数据,后者的作用是显示数据;一个xml文档须有根元素(相对其他元素,该元素为父元素);通过Javascript脚本可以通过xml文件获得 XML Document对象来获取xml文件里的数据.     &