web安全

有任何问题都可以留言咨询。 问题 最近安全问题比较敏感，需要各种自查。 比如查询代码是否保存了明文密码，甚至自己的电脑上的文件，是否保存了明

背景 先是折腾了xssstrike，发现貌似有点不够强大。 网上搜寻了一番，发现burp suite不错，可惜是收费的，但还是想折腾下。 入坑

扫描反射型 先构造反射型代码： 效果如下截图所示： 不管输入什么，都会调接口，然后原封不动返回输入的内容。 如下截图所示： 开始扫描： 详情

github clone 首先是把项目克隆到本地，执行如下命令： git clone https://github.com/s0md3v/XS

前言 JSON注入攻击，一般有客户端注入攻击和服务端注入攻击两种。 这里讲的是客户端注入攻击。 至于什么是JSON，这里就不啰嗦讲解了。 示

定义 window.origin 该属性是只读的。 origin的值是当前页面环境的源。 当源不是http和https协议，比如是file协

问题 有个朋友问了个问题： 为啥vue中的v-html不会执行<script>中的js代码？ 比如，给v-html赋予下面这个值，虽然看到D

概述 clickjacking，中文叫点击劫持。 是一种在网页中将恶意代码等隐藏在看起来安全的内容之下，并诱使用户点击的手段。 比如， 用户

概念 window.name 1、在一个窗口还没关闭之前，同一个窗口的所有页面都共享同一个window.name。 这个窗口可理解为chro

最近跟朋友闲聊，聊起之前出现的npm包漏洞，导致可以在终端上进行投毒攻击、挖矿以及窃取密码。 所以这里再次讲下相关问题。 ua-parse-js漏洞出现和解决 收到各个群的消息以及邮件通知 漏洞和问题

CSRF简介 Cross-site request forgery，跨站请求伪造，通常缩写为CSRF或者XSRF。 CSRF之get请求攻击 发起get请求攻击比较简单，只需要通过img标签就可实现。

概述 Cross-site scripting，简称XSS，跨站脚本攻击。 XSS是一种网站应用程序的安全漏洞攻击，是代码注入的一种。 它允许恶意用户将代码注入到网页上，其他用户在浏览网页的时候，就会