通过DOM Clobbering进行xss

起因看到p神星球发了两个xss挑战,做题的时候使用:<details open ontoggle=alert(1)>,后来更改代码之后看到了Zzed师傅的答案: <style>@keyframes x{}</style><form style="animation-name:x" onanimationstart="alert(1)"><input id=attributes><input id=attributes>,知道了一个知识:Dom Clobbering

这个在p神的文章中也会有提到:https://www.leavesongs.com/PENETRATION/a-tour-of-tui-editor-xss.html
继续阅读“通过DOM Clobbering进行xss”

sql注入备忘录

最近一直在看《SQL注入与防御》这本书籍,发现这本书许多的注入手段都已经过时,但是用来学习数据库基础语句,加深对注入的理解还是不错的。建议学习的时候要一边看书上的语句一边配合Google进行学习,不然可能会走弯路。

继续阅读“sql注入备忘录”