XSS挑战赛 的xss知识点及答案

XSS挑战赛 的xss知识点及答案
M师傅语录: 题目很多围绕着security header来出题,希望开发者重视这些问题,在防御上,正确的设置下面的值,是能够避免很多问题. content-type、x-xss-protection、x-frame-options、x-content-type-options 1. 文件上传 <?php header("X-XSS-Protection: 0"); $target_dir = "uploads/"; $target_file = $target_dir . basename($_FILES[&...
2017年08月31日 汪洋大海 暂无评论 喜欢 1 阅读 4,665 views 次 阅读全文

英雄群侠传2 下载地址(定期更新)[无内购、无广告、无联网](良心推荐)(2017.09.25更新)

英雄群侠传2 下载地址(定期更新)[无内购、无广告、无联网](良心推荐)(2017.09.25更新)
【 游戏讨论群 】:3579348 (问密码、问教程、提出开发建议、提出修改建议、玩家交流) 【 游戏微信公众号 】:Lairdodox(机器人自动回答密码和简单提问) 【 游戏简介 】: 英雄群侠传II在一代的基础上有了很大的变化,首先是彩色水墨画风格的半回合制游戏,练功也由原来的艰苦模式改成了自动修炼,并且加入了每日签到以及奖励福利和节日奖励。 武功技能方面是翻天...
2017年07月28日 汪洋大海 评论 1 条 喜欢 0 阅读 8,083 views 次 阅读全文

[转载]mysql中SELECT+UPDATE处理并发更新问题解决方案

[转载]mysql中SELECT+UPDATE处理并发更新问题解决方案
一 问题背景: 假设MySQL数据库有一张会员表vip_member(InnoDB表),结构如下: mysql中SELECT+UPDATE处理并发更新问题解决方案 当一个会员想续买会员(只能续买1个月、3个月或6个月)时,必须满足以下业务要求: •如果end_at早于当前时间,则设置start_at为当前时间,end_at为当前时间加上续买的月数 •如果end_at等于或晚于当前时间,则设置end_at=end_at+续买的月数 •续...
2017年07月21日 汪洋大海 暂无评论 喜欢 0 阅读 2,941 views 次 阅读全文

Windows 2008 R2 搭建vpn设置(方法)

Windows 2008 R2 搭建vpn设置(方法)
   首先需要一个服务器(废话)如下图:    第一步:安装角色:      第二步:勾选"网络策略和访问服务” 第三步:检查配置 第四步:把图上选项全勾上 然后:确认安装阶段 再来多一个图   安装完毕后进入第二阶段       第二阶段:配置VPN服务器。     点击进入服务器管理器——路由和远程访问       右键点击“路由和远程访问“——点击“配置并启动路由和远程...
2017年07月20日 汪洋大海 暂无评论 喜欢 0 阅读 3,633 views 次 阅读全文

php更快速度的查找字符

php更快速度的查找字符
我们是一家媒体网站,每天都有大概1000+的原创文章,目前库里大概有100多万条数据,与地方一些站进行合作,有些ZF的毛病很多,需要屏蔽一些ZF认为违规关键字的文章。对方提供了20000+关键词,需要扫我们的库。 我现在需要做的就是把带有违规关键字的文章id取出来,story表记录简单信息,content记录了内容还有分页。 用preg_match()每百条数据需要200s+, 采用strpos() 来检...
2017年07月12日 汪洋大海 暂无评论 喜欢 0 阅读 2,259 views 次 阅读全文

ServiceWorker 让你的XSS永久在线

ServiceWorker 让你的XSS永久在线
这种方法只能在电脑上利用chrome等浏览器才可以,而且对方网站必须是https的。 但是需要有两个前提条件。首先这个域名必须存在XSS,其次这个域名必须有可以控制输出的jsonp。 假设https://shoppingxxx.sxxxxgxxx.com/ 某处有储存XSS 而且这个网站下面还有一个jsonp接口,假设是https://shoppingxxxx.sxxxxgxxx.com/app/cart1/gateway/mergeShoppingCart.do?tempCartId=&oper...
2017年06月29日 汪洋大海 暂无评论 喜欢 1 阅读 2,996 views 次 阅读全文

createElement动态创建script标签

createElement动态创建script标签
今日做项目要做自适应,需要动态的调用js和css于是研究了一下createElement方法,看了网上的许多案例都是错误的,希望在此能更正一下createElement的使用规范: 先来看看我遇到的问题: createElement问题点 我想在head标签内动态添加js和link(css),用了网上的方法都不行,于是找了html dom属性一番研究,终于看到了希望: 1 document.write(unescape("%3Cscript s...
2017年06月29日 汪洋大海 评论 1 条 喜欢 0 阅读 4,312 views 次 阅读全文

延长 XSS 生命期 作者:EtherDream

延长 XSS 生命期 作者:EtherDream
本文转载自“乌云”因已关闭,无法奉上原文链接,请原谅。 0x00 前言 XSS 的本质仍是一段脚本。和其他文档元素一样,页面关了一切都销毁。除非能将脚本蔓延到页面以外的地方,那样才能获得更长的生命力。 庆幸的是,从 DOM 诞生的那一天起,就已为我们准备了这个特殊的功能,让脚本拥有突破当前页面的能力。 下面开始我们的续命黑魔法。 0x01 反向注入 一个不合理的标准,往...
2017年06月29日 汪洋大海 暂无评论 喜欢 0 阅读 4,314 views 次 阅读全文

Firefox 54最新可用XSS参数

Firefox 54最新可用XSS参数
Firefox 54于2017年6月13日发布。此版本中的一个重要变化是* animationcancel *事件。 从此版本开始,当动画过早中止时,CSS动画将发送* animationcancel *事件。 1 2 3 4 5 6 7 8 9 10 11 12 Example:   <style> #x{display:block} #x:target{display:none} @keyframes test {} </style>   1<span id="x" style="animation...
2017年06月27日 汪洋大海 暂无评论 喜欢 0 阅读 2,541 views 次 阅读全文