受害者精品文章

• 

  【譯】Excess-XSS 一份關(guān)于 XSS 的綜合教程

  ...用戶瀏覽器中執(zhí)行惡意 JavaScript。 攻擊者并不是直接面對受害者。而是，為了讓網(wǎng)站替自己傳輸惡意 JavaScript，攻擊者需要利用受害者訪問的網(wǎng)站上的漏洞。對受害者的瀏覽器而言，惡意的 JavaScript 似乎是網(wǎng)站合法的一部分，網(wǎng)...

  timger 2019-06-21 16:29 評論0 收藏0
• 

  科普跨站平臺 XSS shell 使用方法

  ... XSS shell 是一個強大的ASP.NET 開發(fā)的工具，作為攻擊者與受害者之間的后門 。XSS Shell可以作為一個強大的后門和遠程管理軟件。 攻擊過程: XSS Shell服務(wù)器設(shè)置。 配置XSS Tunnel使用XSS Shell服務(wù)器。 插入惡意腳本到一個脆弱的網(wǎng)站...

  fanux 2019-06-21 16:22 評論0 收藏0
• 

  XSS 和 CSRF 兩種跨站攻擊

  ...： 這個圖還有一個重要的點沒有標明出來，就是前提是受害者要先登錄到 Bank.com 的網(wǎng)站上。 由于瀏覽器的同源策略，直接向 attacker.net 發(fā)送 document.cookie 是無法獲得 www.xxx.com 的 cookie，因為瀏覽器會對不同源（域）的內(nèi)容進行...

  GHOST_349178 2019-08-22 10:45 評論0 收藏0
• 

  繼上一批高調(diào)勒索軟件消失后 這7個新的勒索軟件繼承雙重勒索

  ...e:18px}} 新的勒索軟件即服務(wù)組織尋找分支機構(gòu)勒索新的受害者。 在今年年中一系列高調(diào)的攻擊之后，一些規(guī)模龐大、臭名昭著的勒索軟件銷聲匿跡了。 Conti針對愛爾蘭醫(yī)療服務(wù)，DarkSide針對美國殖民管道，REvil針對肉類加...

  Barry_Ng 2021-08-31 09:45 評論0 收藏0
• 

  Web安全之XSS Platform搭建及使用實踐

  ...首頁中可以看到有一個默認項目，點擊default后可以看到受害者列表，不過剛剛安裝肯定是還沒有數(shù)據(jù)的，如下圖所示 在圖中右上方有一個查看代碼的鏈接，點擊進去便可以查看XSS Platform預(yù)備好的攻擊代碼，如下圖所示 五、攻...

  shevy 2019-07-01 11:02 評論0 收藏0
• 

  Web安全之XSS Platform搭建及使用實踐

  ...首頁中可以看到有一個默認項目，點擊default后可以看到受害者列表，不過剛剛安裝肯定是還沒有數(shù)據(jù)的，如下圖所示 在圖中右上方有一個查看代碼的鏈接，點擊進去便可以查看XSS Platform預(yù)備好的攻擊代碼，如下圖所示 五、攻...

  XboxYan 2019-07-30 18:37 評論0 收藏0
• 

  csrf實驗

  CSRF攻擊實驗 CSRF攻擊涉及用戶受害者,受信任的網(wǎng)站和惡意網(wǎng)站。當(dāng)受害者與受信任的站點擁有一個活躍的會話同時，如果訪問惡意網(wǎng)站，惡意網(wǎng)站會注入一個HTTP請求到為受信任的站點，從而破話用戶的信息。 CSRF 攻擊總是涉...

  myshell 2019-06-21 16:35 評論0 收藏0
• 

  前端——影子殺手篇

  ...執(zhí)行惡意的腳本代碼。往往XSS并不需要攻擊者去直接攻擊受害者的瀏覽器。攻擊者可以利用網(wǎng)站的漏洞，將這一段惡意代碼提交。然后，通過網(wǎng)站去傳遞給受害者，同時竊取受害者的信息等。 我們可以先看一個簡單的例子： 或...

  李世贊 2019-08-21 16:57 評論0 收藏0
• 

  系統(tǒng)潛入后門分析

  ...r?Pack入侵系統(tǒng)的攻擊。 Nuclear?Pack的工作原理如下： 受害者訪問Nuclear?Pack入侵系統(tǒng)的初始登錄頁面，JavaScript程序檢測其鼠標的移動； 受害者被重定向到JavaScript程序，由其決策哪個入侵系統(tǒng)對受害者進行攻擊； JavaScript程序...

  forrest23 2019-06-21 16:19 評論0 收藏0
• 

  Egor Homakov：我是如何再次黑掉GitHub的

  ...把這個泄露的令牌用在真正的客戶端回調(diào)URl上，從而登陸受害者的賬戶。順便說下，這和我在VK.com發(fā)現(xiàn)的漏洞一樣。 這是一個嚴重的問題，而且可以用來危害所有依賴用GitHub登陸功能的網(wǎng)站。我打開了應(yīng)用頁面來查看哪些...

  Apollo 2019-06-21 16:23 評論0 收藏0
• 

  [譯] 沙箱中的間諜 - 可行的 JavaScript 高速緩存區(qū)攻擊

  ...個領(lǐng)域里的其它研究成果不同，這一手段不需要攻擊者在受害者的電腦上安裝任何的 應(yīng)用程序來展開攻擊，受害者只需要打開一個由攻擊者控制的惡意網(wǎng)頁。這種攻擊模型可伸縮性高，易行，貼近當(dāng)今的網(wǎng)絡(luò)環(huán)境，特別是由于...

  netScorpion 2019-06-24 17:04 評論0 收藏0
• 

  2019年7-8月份前端面試題

  ... CSRF（Cross-site request forgery）跨站請求偽造：攻擊者誘導(dǎo)受害者進入第三方網(wǎng)站，在第三方網(wǎng)站中，向被攻擊網(wǎng)站發(fā)送跨站請求。利用受害者在被攻擊網(wǎng)站已經(jīng)獲取的注冊憑證，繞過后臺的用戶驗證，達到冒充用戶對被攻擊的網(wǎng)...

  shevy 2019-08-26 14:05 評論0 收藏0
• 

  金融科技行業(yè)網(wǎng)絡(luò)安全威脅概覽

  ...公司和服務(wù)的網(wǎng)絡(luò)攻擊增加了238%。在這些攻擊中近75%的受害者是銀行和保險公司。 攻擊者一直廣泛針對銀行和保險公司等金融機構(gòu)，自疫情爆發(fā)以來這種情況更加頻繁。攻擊者通過濫用和出售敏感的個人身份信息%20(PII)(例如...

  xietao3 2021-09-02 09:48 評論0 收藏0
• 

  關(guān)于跨域攻擊和網(wǎng)絡(luò)信標

  ...能低于 IE10。 四、跨域攻擊 跨域攻擊可以理解為：誘導(dǎo)受害者訪問非法網(wǎng)站，黑客利用受害者的會話信息模擬請求，以達到篡改數(shù)據(jù)的目的。由此看來，跨域攻擊有幾個先決條件： 1、要有頁面入口，供受害者點擊或者頁面自動...

  ixlei 2019-08-23 14:38 評論0 收藏0