受害者精品文章

• 

  【譯】Excess-XSS 一份關(guān)于 XSS 的綜合教程

  ...用戶瀏覽器中執(zhí)行惡意 JavaScript。 攻擊者并不是直接面對(duì)受害者。而是，為了讓網(wǎng)站替自己傳輸惡意 JavaScript，攻擊者需要利用受害者訪問的網(wǎng)站上的漏洞。對(duì)受害者的瀏覽器而言，惡意的 JavaScript 似乎是網(wǎng)站合法的一部分，網(wǎng)...

  timger 2019-06-21 16:29 評(píng)論0 收藏0
• 

  科普跨站平臺(tái) XSS shell 使用方法

  ... XSS shell 是一個(gè)強(qiáng)大的ASP.NET 開發(fā)的工具，作為攻擊者與受害者之間的后門 。XSS Shell可以作為一個(gè)強(qiáng)大的后門和遠(yuǎn)程管理軟件。 攻擊過程: XSS Shell服務(wù)器設(shè)置。 配置XSS Tunnel使用XSS Shell服務(wù)器。 插入惡意腳本到一個(gè)脆弱的網(wǎng)站...

  fanux 2019-06-21 16:22 評(píng)論0 收藏0
• 

  XSS 和 CSRF 兩種跨站攻擊

  ...： 這個(gè)圖還有一個(gè)重要的點(diǎn)沒有標(biāo)明出來，就是前提是受害者要先登錄到 Bank.com 的網(wǎng)站上。 由于瀏覽器的同源策略，直接向 attacker.net 發(fā)送 document.cookie 是無法獲得 www.xxx.com 的 cookie，因?yàn)闉g覽器會(huì)對(duì)不同源（域）的內(nèi)容進(jìn)行...

  GHOST_349178 2019-08-22 10:45 評(píng)論0 收藏0
• 

  繼上一批高調(diào)勒索軟件消失后 這7個(gè)新的勒索軟件繼承雙重勒索

  ...e:18px}} 新的勒索軟件即服務(wù)組織尋找分支機(jī)構(gòu)勒索新的受害者。 在今年年中一系列高調(diào)的攻擊之后，一些規(guī)模龐大、臭名昭著的勒索軟件銷聲匿跡了。 Conti針對(duì)愛爾蘭醫(yī)療服務(wù)，DarkSide針對(duì)美國殖民管道，REvil針對(duì)肉類加...

  Barry_Ng 2021-08-31 09:45 評(píng)論0 收藏0
• 

  Web安全之XSS Platform搭建及使用實(shí)踐

  ...首頁中可以看到有一個(gè)默認(rèn)項(xiàng)目，點(diǎn)擊default后可以看到受害者列表，不過剛剛安裝肯定是還沒有數(shù)據(jù)的，如下圖所示 在圖中右上方有一個(gè)查看代碼的鏈接，點(diǎn)擊進(jìn)去便可以查看XSS Platform預(yù)備好的攻擊代碼，如下圖所示 五、攻...

  shevy 2019-07-01 11:02 評(píng)論0 收藏0
• 

  Web安全之XSS Platform搭建及使用實(shí)踐

  ...首頁中可以看到有一個(gè)默認(rèn)項(xiàng)目，點(diǎn)擊default后可以看到受害者列表，不過剛剛安裝肯定是還沒有數(shù)據(jù)的，如下圖所示 在圖中右上方有一個(gè)查看代碼的鏈接，點(diǎn)擊進(jìn)去便可以查看XSS Platform預(yù)備好的攻擊代碼，如下圖所示 五、攻...

  XboxYan 2019-07-30 18:37 評(píng)論0 收藏0
• 

  csrf實(shí)驗(yàn)

  CSRF攻擊實(shí)驗(yàn) CSRF攻擊涉及用戶受害者,受信任的網(wǎng)站和惡意網(wǎng)站。當(dāng)受害者與受信任的站點(diǎn)擁有一個(gè)活躍的會(huì)話同時(shí)，如果訪問惡意網(wǎng)站，惡意網(wǎng)站會(huì)注入一個(gè)HTTP請(qǐng)求到為受信任的站點(diǎn)，從而破話用戶的信息。 CSRF 攻擊總是涉...

  myshell 2019-06-21 16:35 評(píng)論0 收藏0
• 

  前端——影子殺手篇

  ...執(zhí)行惡意的腳本代碼。往往XSS并不需要攻擊者去直接攻擊受害者的瀏覽器。攻擊者可以利用網(wǎng)站的漏洞，將這一段惡意代碼提交。然后，通過網(wǎng)站去傳遞給受害者，同時(shí)竊取受害者的信息等。 我們可以先看一個(gè)簡(jiǎn)單的例子： 或...

  李世贊 2019-08-21 16:57 評(píng)論0 收藏0
• 

  系統(tǒng)潛入后門分析

  ...r?Pack入侵系統(tǒng)的攻擊。 Nuclear?Pack的工作原理如下： 受害者訪問Nuclear?Pack入侵系統(tǒng)的初始登錄頁面，JavaScript程序檢測(cè)其鼠標(biāo)的移動(dòng)； 受害者被重定向到JavaScript程序，由其決策哪個(gè)入侵系統(tǒng)對(duì)受害者進(jìn)行攻擊； JavaScript程序...

  forrest23 2019-06-21 16:19 評(píng)論0 收藏0
• 

  Egor Homakov：我是如何再次黑掉GitHub的

  ...把這個(gè)泄露的令牌用在真正的客戶端回調(diào)URl上，從而登陸受害者的賬戶。順便說下，這和我在VK.com發(fā)現(xiàn)的漏洞一樣。 這是一個(gè)嚴(yán)重的問題，而且可以用來危害所有依賴用GitHub登陸功能的網(wǎng)站。我打開了應(yīng)用頁面來查看哪些...

  Apollo 2019-06-21 16:23 評(píng)論0 收藏0
• 

  [譯] 沙箱中的間諜 - 可行的 JavaScript 高速緩存區(qū)攻擊

  ...個(gè)領(lǐng)域里的其它研究成果不同，這一手段不需要攻擊者在受害者的電腦上安裝任何的 應(yīng)用程序來展開攻擊，受害者只需要打開一個(gè)由攻擊者控制的惡意網(wǎng)頁。這種攻擊模型可伸縮性高，易行，貼近當(dāng)今的網(wǎng)絡(luò)環(huán)境，特別是由于...

  netScorpion 2019-06-24 17:04 評(píng)論0 收藏0
• 

  2019年7-8月份前端面試題

  ... CSRF（Cross-site request forgery）跨站請(qǐng)求偽造：攻擊者誘導(dǎo)受害者進(jìn)入第三方網(wǎng)站，在第三方網(wǎng)站中，向被攻擊網(wǎng)站發(fā)送跨站請(qǐng)求。利用受害者在被攻擊網(wǎng)站已經(jīng)獲取的注冊(cè)憑證，繞過后臺(tái)的用戶驗(yàn)證，達(dá)到冒充用戶對(duì)被攻擊的網(wǎng)...

  shevy 2019-08-26 14:05 評(píng)論0 收藏0
• 

  金融科技行業(yè)網(wǎng)絡(luò)安全威脅概覽

  ...公司和服務(wù)的網(wǎng)絡(luò)攻擊增加了238%。在這些攻擊中近75%的受害者是銀行和保險(xiǎn)公司。 攻擊者一直廣泛針對(duì)銀行和保險(xiǎn)公司等金融機(jī)構(gòu)，自疫情爆發(fā)以來這種情況更加頻繁。攻擊者通過濫用和出售敏感的個(gè)人身份信息%20(PII)(例如...

  xietao3 2021-09-02 09:48 評(píng)論0 收藏0
• 

  關(guān)于跨域攻擊和網(wǎng)絡(luò)信標(biāo)

  ...能低于 IE10。 四、跨域攻擊 跨域攻擊可以理解為：誘導(dǎo)受害者訪問非法網(wǎng)站，黑客利用受害者的會(huì)話信息模擬請(qǐng)求，以達(dá)到篡改數(shù)據(jù)的目的。由此看來，跨域攻擊有幾個(gè)先決條件： 1、要有頁面入口，供受害者點(diǎn)擊或者頁面自動(dòng)...

  ixlei 2019-08-23 14:38 評(píng)論0 收藏0