大家好！在開始正式的內容之前，請允許我做個簡單的自我介紹。首先，我要說明的是我不是什麼安全研究人員/安全工程師，確切的來說我是一名安全的愛好者，這始於兩年前的Uber。我喜歡接觸新的事物，並且每天都在努力提高自

常聽前輩講：如今學生， 才學1分，便覺知3分。 才學3分，便覺知7分。 若能達7分，方知才1分。 菜鳥和高手的區別，不完全在於你學了多少，更看你能否清晰認知到目前所處階段，正確迸發出對下一階段知

2018年10月12日，某CMS官方修復了一處XSS漏洞： 簡要分析 source/module/misc/misc_ranklist.php:166 <?php functio

來自VPNMentor的安全研究人員檢測到多個客戶端漏洞，允許黑客訪問使用者的個人資料和詳細資訊。 基於DOM的XSS也稱為0型XSS，此漏洞允許攻擊者製作惡意URL，如果其他使用者訪問了URL，

今天慣例郵箱收到了Twitter的郵件提醒有新的post，這種郵件每天都能收到幾封，正好看到一個Bug Bounty的write up，比較感興趣，看起來也在我的理解範圍之內，這裡對這篇write up和另一篇

筆者6月份在慕課網錄製視訊教程 XSS跨站漏洞 加強Web安全 ,裡面需要講到很多實戰案例，在漏洞挖掘案例中分為了手工挖掘、工具挖掘、程式碼審計三部分內容,手工挖掘篇參考地址為 快速找出網站中可能存在的XSS

近來反反覆覆讀了一些xss和csrf攻防的一些文章，大體上讀完了《XSS跨站指令碼剖析與防禦》這本書，之前淺浮的以為xss僅僅需要對使用者輸入內容進行過濾，然而現在重新審視xss的攻擊技巧著實令人眼花繚亂。

一、背景 筆者此前錄製了一套XSS的視訊教程，在漏洞案例一節中講解手工挖掘、工具挖掘、程式碼審計三部分內容,準備將內容用文章的形式再次寫一此,前兩篇已經寫完，內容有一些關聯性，其中手工XSS挖掘篇地址為

來篇正式點的Post吧 燃燃燃然 前言 最近在FreeBUF上看到這樣一篇文章 基於卷積神經網路的SQL注入檢測 我覺得CNN演算法就其本身而言，應用與NLP是沒

前端安全方面，主要需要關注 XSS（跨站指令碼攻擊 Cross-site scripting） 和 CSRF（跨站請求偽造 Cross-site request forgery） 當然了，也不是說要忽略

今天我要分享的是參與雅虎（Yahoo!）漏洞眾測專案發現的一個關於雅虎郵箱 iOS應用的漏洞，最終，憑藉該漏洞，我進入了雅虎安全名人堂並獲得了$3500美金獎勵。 漏洞情況 我測試的物件是 Yah

前端安全 隨著網際網路的高速發展，資訊保安問題已經成為企業最為關注的焦點之一，而前端又是引發企業安全問題的高危據點。在移動網際網路時代，前端人員除了傳統的 XSS、CSRF 等安全問題之外，又時常遭遇網路劫

原文： https://medium.com/@efkan162/how-i-xssed-uber-and-bypassed-csp-9ae52404f4c5 前奏 我曾經在Uber的子域上尋找過開

https://xssor.io/s/x.js 那麼，另外兩個引數（disabledFeatures 與 enabledFeatures）為什麼是必要的？繼續看程式碼（同樣是 library 開頭的那個

各單位：2019年度CNNVD相容性服務申請工作將於近期開展。 現就有關事項通知如下： 一、申請時間 即日起至2019年5月31日。 二、申請方式與要求