前言: postMessage是HTML5衍生出来的,用来规范跨域的问题。但由于使用者不注意一些安全性,可能会产生一些漏洞,这篇文章介绍可能产生的问题。 目录: 0x01:如何工作 0x02:可能的三个漏洞…
分类:网络安全
浅谈OAuth2.0协议安全性
前言: 老洞新谈,重复造属于自己的轮子。 目录: 0x01:什么是OAuth2.0协议 0x02:配置不当所造成的危害 0x03:如何正确配置 什么是OAuth2.0协议 &nbs…
Host-Header-Injection
前言: 遇到个Host-header-injection,简单的查查资料,总结一下这方面的知识。 目录: 0x01:漏洞原理 0x02:黑盒测试 0x03:漏洞危害 0x04:如何修复 漏洞原理 …
ClickJacking简介和防御
前言: 最近看到一篇关于Clickjacking的某些浏览器不支持特性而产生的漏洞,故查查资料,记录下这些。 重点在于Clickjacking的三种防御手段、 目录: 0x01:什么是点击劫持(ClickJ…
浅谈CORS可能产生的漏洞
前言: 转眼两个月过去了,博客一直都没有更新。重新捡起自己的博客,在写写自己的学习过程。 这次要说的是由于CORS配置不当而引起的跨域问题。CORS,翻译过来就是“跨域资源共享”,这里的重点在于跨域,要知道在网络安全里面…
浅谈X-Forwarded-For伪造
前言: 什么是X-Forwarded-For伪造? 就是服务器获取访问IP时未做严格限制,导致访问IP是可以伪造的。 目录: 0x01:漏洞成因 0x02:漏洞危害 0x03:如何修复 漏洞成因 …
DNSLOG在渗透中的妙用
前言: DNSLOG可能有些人对这个有点陌生,但这真是个十分强大的渗透技巧,这篇文章就是叙述DNSLOG在渗透中的强大之处,相信对这个了解不多的看了之后会觉得受益良多。 首先先简单的介绍一下DNSLOG,抽象的语言就不多…
文件上传漏洞(个人总结)
前言: 一次对文件上传漏洞的总结,希望在学习知识的同时可以帮助到其他人。 目录: 0x01:前端验证 0x02:后端验证未严格化 0x03:解析漏洞 0x04:如何防护 前端验证 前端验证其实没必要多说,就是上传的时候上…
中间件漏洞(不定时更新)
无法提供摘要。这是一篇受保护的文章。