本文主要总结了xss可能出现的场景.偏向于案例,最后分享一哈简单的绕过和比较好用的标签. 1.搜索框 首先看能否闭合前面的标签. 如输入111”><svg/onload=alert(1)> 查看源码是否将前面标签闭合,可闭合的话可触发xss 如过无法闭合时,用事件来触发xss. 输入1111”><svg/onload=alert(1)>,F12看源码 发现”>无法闭合前面的标签.那么就用事件. 输入1111”onmouseout=”alert(1) 此处的事件是当…

首先我们应当了解,当我们发送一个请求链接时,服务器与客户端都发生了什么 这里仅涉及到js的编码问题,因此就编码来说,首先我们确定我们发出的请求是采用GET的方式还是采用POST的方式 若采用GET的方式,则客户是通过URL地址发送请求链接,既然是URL链接就需要对其进行URL编码,客户端首先对其进行URL编码,之后发送给服务器端,服务器端受到该GET请求后,首先解析请求链接,因此就对URL进行解码,之后针对该请求回复一个RESPONSE,其中RESPONSE中与URL相关的内容是经过URL解码之…

  0x01 Flash XSS xss一是指执行恶意js,那么为什么说flash xss呢?是因为flash有可以调用js的函数,也就是可以和js通信,因此这些函数如果使用不当就会造成xss.常见的可触发xss的危险函数有:getURL,navigateToURL,ExternalInterface.call,htmlText,loadMovie等等 0x02 ExternalInterface.call举例 AS中ExternalInterface类是用来和js通信的,调用方法是用来调用js…

xss的全称是:Cross Site Script,中文名叫“跨站脚本攻击”,因为和CSS重名,所以改名XSS.作为一个网站是肯定要和用户有交互的,那么肯定就伴随着信息的输入输出,而利用xss就是通过在输入时输入恶意的代码,向网站写入恶意的脚本,进而可以对网站的普通用户进行cookie劫持,甚至控制用户的浏览器,向用户插入木马等.常见的输入有哪些呢,比如搜索框,比如留言板,比如用户个人信息的修改.凡是涉及到输入就可能存在xss漏洞. xss的分类 反射型xss发出请求时,XSS代码出现在URL中…

在等了好几天还没有等到OTA升级提示,前天笔者给Nexus4线刷入了官方提供的Lollipop的镜像,在试用了这两天之后,现在总结下自己感觉很惊艳的地方和一些地方的吐槽.(点击图片可以查看大图) 1.Material Design: 不得不说,这次的UI风格与用户交互改变很大,主要的就是谷歌推行的Material Design,刚开始看着和用着都觉得挺别扭,但是一旦接受了这个设定,还是挺带感的括弧笑. 典型的用户界面与交互设计可以参考Gmail,不得不说,Gmail一直是谷歌给开发者设计应用的规…

本文同时也发布在自建博客地址. 本文翻译自www.tensorflow.org的英文教程. 本文档介绍了TensorFlow编程环境,并向您展示了如何使用Tensorflow解决鸢尾花分类问题. 先决条件 在本文档中使用示例代码之前,您需要执行以下操作: 确认安装了Tensorflow 如果在Anaconda的虚拟环境下安装了TF,激活你的TF环境 通过以下命令安装或者升级pandas pip install pandas ​ 获取示例代码 按照以下步骤获取我们将要全程使用的示例代码 通过输入以…

前两篇学习安装了mysql服务器,tomcat服务,这篇文章学习安装apache服务 1.执行yum install httpd,安装完成后查看httpd rpm -qa|grep httpd 2.新建vi /etc/httpd/conf.d/vhosts.conf文件,添加以下代码,目的是80端口转到本机8080端口(根据个人实际情况修改) <VirtualHost *:80> ServerName aa.jsuper.cn ProxyVia On ProxyRequests Off Pro…

上一篇文章说完安装mysql数据库,这篇文章来学习一下tomcat安装 1.先做准备工作,安装jdk,先看服务器上有没有安装相关java文件 下载好1.8版本的安装包,用xftp传到服务器上(根据个人需求,可以下载自己想要的版本,用wget方法下载失败) JDK历史版本http://www.oracle.com/technetwork/java/javase/archive-139210.html 可以看到/usr/java/下已经上传好了jdk安装包(java文件夹是新建的) 解压文件夹tar…

随着云服务器的普及,购入云服务器的门槛越来越低,对一个程序员来说,很多人会购买一款云服务器.以前买过两年windows服务器(没有什么实际用途,就是为了玩),最近有机会接触一下linux服务器,选择了系统为centos7的阿里云服务器,下面和大家一起来学习一下linux服务器的各种操作(纯新手). 个人对linux服务器的了解,java开发的程序三大件事apache+tomcat+mysql(这个理解可能有误,我是.net开发),入手的第一件是安装mysql数据库. 首先用xshell连接到ce…

虚拟机Virtual Box装的Kali Linux,是Debian的发行版本,安装过程不说了,不是硬盘安装也没什么说的,由于是新手所以只有两个分区,一个[/]和一个[swap] 装好之后是xwindow的界面,可以登录,也可以ctrl+alt+F1~F6切换六个文字终端,需要注意的是文字终端登录时输密码小键盘是不能用的. 接下来是几个常用的命令,主要是在线帮助命令可以查到很多命令 man [命令] 这个可以获取输入命令的帮助,用法,还有类似的一个命令info 接下来是下载软件,不同的版本Lin…