安全街
一步步,我们的信息安全时代
自15年起,各种反序列化漏洞层出不穷,s2-045更是来到了顶峰。这种命令执行可以让我们直接得到一个非交互Shell。 拿到命令执行权限后,第一反应肯定是提权,根据经验来看,这种执行权限大…
2017-09-16 0 Comment
漏洞分两种:编码上的漏洞和逻辑漏洞。不管是SQL注入、XSS这种流行漏洞,还是心脏滴血、Java反序列化RCE,统统都属于编码上的漏洞。随着信息安全的日益发展,框架的成熟,越来越深刻的重视…
2017-08-20 0 Comment
XSS早年间刚流行的时候,大家都没有当回事。自从有人发现能打cookie后,才变得流行起来,到现在,已经是各种猥琐套路了。XSS攻击并非主动攻击,要“看缘分”。国内的安全圈尤其不重视反射性X…
2017-08-08 0 Comment
某天正开着我的扫描器充当“网络医生”,看能不能找到一些有价值的站提交到cnvd,那样就又能发财了。 用我写好的脚本提取出对应时间段内的扫描结果,看看都有什么收获。 其中发现了一个本市…
2017-07-28 0 Comment
那么apply和call究竟有什么区别呢?这是本文主要探讨的话题。 在此前看了很多网上说的也没搞清楚,最近才弄明白。 相同 我们先来看一下他们在什么情况下是一样的。举个例子。 function sho…
2016-04-15 0 Comment
想必this、call和apply对于初学者来说难以理解。今天我仔细琢磨了一下,悟出了一些东西,也希望能给看的人一些启发,若有错误还请指正。 定义 this是包含它的函数作为方法被调用时所属的对…
2016-04-13 0 Comment
在写js时全局变量和局部变量各有优点,但一不小心就容易出问题,尤其是在有同名变量的时候。 变量声明 全局变量的声明: function外var a = 1或者a = 1,此时a为全局变量。 function内直…
2016-04-11 0 Comment
最近在写一个垂直滚屏的页面,并遇到了一些问题。在这里记录一下解决过程和方法。 思路 查了一下网上的单页滚屏,遍地都是fullPage这个插件。因为是初学者,不太想用插件,又不太想用jQuer…
2016-03-14 0 Comment