XSS漏洞

FISCO BCOS区块链智能合约测试利器：Foundry框架从入门到实战

想象一下，你花费数周时间开发的智能合约终于部署上线，却因为一个未发现的边界条件漏洞导致合约资金被锁死或被盗——这种噩梦般的场景在区块链世界并不罕见。

·2025-07-09 08:28

mediamtx v1.13.0版本深度解读：全面升级RTSP加密支持及多项关键改进解析

2025年7月7日，mediamtx发布了v1.13.0版本，此版本带来了大量重要的功能增强和漏洞修复，尤其是在RTSP协议支持、加密传输、KLV元数据路由等方面做出了卓越提升。

·2025-07-09 08:57

注入漏洞类型、特殊字符以及处理方法

各种应用攻击中，注入攻击是被利用最多的，也是危害最大的，同时，相对而言，也是比较容易集中处理的漏洞类型，通过SAST（静态代码扫描工具）也是很容易发现的。

jimmyleeee·2025-07-09 06:43

XSLT模版注入漏洞

XSLT模版注入漏洞模版注入漏洞根因（SSTI，服务器端模版注入）XSLT介绍XSLT模版注入漏洞关键点漏洞触发场景漏洞复现环境引入依赖poc修复方案限制document读取路径限制使用`xsl:include

·2025-07-09 06:43

【漏洞挖掘】——121、Xpath注入深入刨析

基本介绍XPath即为XML路径语言，是W3CXSLT标准的主要元素，它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言。它是一种用来在内存中导航整个XML树的语言，它的设计初衷是作为一种面向XSLT和XPointer的语言，后来独立成了一种W3C标准，XPath基于XML的树状结构，有不同类型的节点，包括元素节点，属性节点和文本节点，提供在数据结构树中找寻节点的能力，可用来在

FLy_鹏程万里·2025-07-09 06:12

XSLT注入与安全修复方法

XSLT注入概述XSLT注入是一种安全漏洞，攻击者通过操纵XSLT（可扩展样式表语言转换）的输入参数或样式表内容，执行恶意操作（如文件读取、远程代码执行、服务端请求伪造）。

·2025-07-09 06:11

蓝队应急思路分享

一、应急响应应急响应的流程如下：1）首先判断服务器资产、影响范围以及严重程度，确认有没有必要将被攻击的服务器下线隔离，然后根据服务器的失陷时间和态势感知的告警，判断是由什么漏洞进来的2）其次就是取证排查阶段

四个月拿下·2025-07-09 04:26

接口服务类安全测试（WSDL）

目录前言：（一）API接口WSDL判断方法漏洞关键字端口号端口说明攻击技巧总结：前言：根据前期信息收集针对目标端口服务类探针后进行的安全测试，主要涉及攻击方法：口令安全，WEB类漏洞，版本漏洞等，其中产生的危害可大可小

@Camelus·2025-07-09 03:19

2024年最新4大典型安全漏洞是怎么来的？如何解决？，【2024网络安全最新学习路线】

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！】93道网络安全面试题内容实在太多，不一一截图了黑客学习资源推荐最后给大家分享一份全套的网络安全

2401_84297193·2025-07-09 00:33

封装阶段的软件供应链安全威胁

然而，这个关键阶段也无法避免漏洞，使其成为恶意行为者寻求破坏软件完整性和安全性的主要目标。这篇博文深入研究了此阶段可能出现的普遍威胁，并概述了缓解这些威胁的有效策略。

·2025-07-08 23:56

网络渗透2 指纹识别

在渗透测试中，对目标服务器进行指纹识别是相当有必要的，因为只有识别出相应的Web容器或者CMS，才能查找与其相关的漏洞，然后才能进行相应的渗透操作。C

郭莉914·2025-07-08 17:17

web渗透之指纹识别2

在CMS的漏洞较多，我们可以通过它的指纹找到源码，或者历史漏洞查看并进行白盒测试等。cdn识别在cdn指纹识别中

合作小小程序员小小店·2025-07-08 16:45

web渗透之指纹识别1

前端技术：前端中我们需要掌握一些基础html,javascrip,jquery,bootstrap,前端框架vue.js,vue,angular,React等，在前端中可以利用的东西还是很多的，我们可使用xss

合作小小程序员小小店·2025-07-08 16:44

区块链重塑域名商业版图：技术革新、市场机遇与未来图景

在Web3.0时代，区块链技术正以去中心化、抗审查、身份绑定等特性重构域名系统，不仅解决了传统DNS的安全漏洞与中心化风险，更开创了数字身份、品牌资产化等全新商业模式。

boyedu·2025-07-08 09:29

接口漏洞怎么抓？Fiddler 中文版 + Postman + Wireshark 实战指南

接口安全是现代应用开发中的高危环节：一旦API存在未授权访问、参数篡改、权限绕过等漏洞，可能直接导致用户信息泄露、资金损失甚至整个平台瘫痪。

2501_91591841·2025-07-08 09:56

NPM组件包 json-cookie-csv 等窃取主机敏感信息

【高危】NPM组件包json-cookie-csv等窃取主机敏感信息漏洞描述当用户安装受影响版本的json-cookie-csv等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址

墨菲安全·2025-07-08 03:38

NPM组件 nodemantle002 等窃取主机敏感信息

【高危】NPM组件nodemantle002等窃取主机敏感信息漏洞描述当用户安装受影响版本的nodemantle002等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址

墨菲安全·2025-07-08 03:37

网络安全之注入攻击：原理、危害与防御之道

2023年Verizon数据泄露调查报告显示，67%的Web应用漏洞与注入类攻击直接相关。本文从技术视角系统解析注入攻击的核心原理、典型场景及防御体系，揭示这一"网络安全头号杀手"的攻防博弈。

·2025-07-08 00:15

网络安全之XSS漏洞：原理、危害与防御实践

引言跨站脚本攻击（Cross-SiteScripting,XSS）作为OWASP十大Web应用安全风险中的常客，是开发者必须掌握的核心攻防领域。

weixin_47233946·2025-07-07 22:33

《密码爆破漏洞详解》——黑客必修的入门操作( 建议收藏 )

隔壁老张:“狗剩啊,隔壁xx村的王姐家的女娃好漂亮,我想盗她qq啊,你帮我把”狗剩:“我不会呀”村里大妈:“那个狗剩啊,盗个qq号都不会,他妈妈还好意思说他是学网络安全当黑客的”密码爆破漏洞详解密码爆破介绍密码爆破使用场景密码爆破利用思路防范密码爆破密码的复杂性密码加密登录逻辑验证码登录次数限制密码爆破介绍密码爆破又叫暴力猜解

2401_84573531·2025-07-07 19:09

Kali系统MSF模块暴力破解MySQL弱口令漏洞

一、实验环境1.攻击方：攻击环境使用KALI系统（使用虚拟机搭建）的Metasploit模块，msfconsole是metasploit中的一个工具，它集成了很多漏洞的利用的脚本，并且使用起来很简单的网络安全工具

·2025-07-07 19:38

解决Nginx安全漏洞【CVE-2018-16844、CVE-2019-9511、CVE-2021-3618、CVE-2018-16843、CVE-2021-23017】等问题

前言最近网信办通报某服务器存在nginx[CVE-2018-16844、CVE-2019-9511、CVE-2021-3618、CVE-2018-16843、CVE-2021-23017、CVE-2019-9513]等漏洞

名字咋这么难起捏·2025-07-07 18:32

2025年渗透测试面试题总结-2025年HW(护网面试) 31（题目+回答）

目录2025年HW(护网面试)311.自我介绍2.渗透测试流程（五阶段模型）3.技术栈与开发经历4.自动化挖洞实践5.信息搜集方法论6.深度漏洞挖掘案例8.SQL注入实战技巧9.AWVS扫描与防御10.

独行soc·2025-07-07 16:50

告别合规“人海战术”，奇富科技Lumo AI合规助手让效率狂飙20倍！

面对不断更新的政策要求和堆积如山的协议审查，传统人工筛查方式显得力不从心，效率低下且漏洞百出，企业合规人力匮乏，全流程合规SOP执行难、合规自查覆盖率低、员工与客户异常行为发现滞后等问题如同高悬的“达摩克利斯之剑

CSDN资讯·2025-07-07 12:50

python系列之：使用md5和sha256完成签名认证，调用接口

sha256签名认证md5认证代码sha256认证代码拼接签名生成签名拼接url调用接口MD5签名和sha256签名认证MD5签名认证算法特性：生成128位(16字节)的哈希值计算速度快已被证明存在碰撞漏洞

快乐骑行^_^·2025-07-07 07:45

【Linux命令大全】Linux安全模块(LSM)终极指南：SELinux与AppArmor实战

在日益复杂的攻击环境下，我们面临的核心安全挑战：零日漏洞的应急防护容器逃逸攻击防御横向移动限制合规审计要求

·2025-07-07 04:57

前端常见的安全问题及防范措施

总的来说安全是很复杂的一个领域，在移动互联网时代，前端人员除了传统的XSS、CSRF等安全问题之外，还时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。

·2025-07-07 01:40

大厂都爱问的前端安全问题及防范措施

总的来说安全是很复杂的一个领域，在移动互联网时代，前端人员除了传统的XSS、CSRF等安全问题之外，还时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。

前端南玖·2025-07-07 01:09

动手实践OpenHands系列学习笔记9：容器安全加固

二、容器安全基础理论2.1容器安全风险分析逃逸风险:容器突破隔离边界访问宿主机特权提升:获取比预期更高的系统权限资源耗尽:DoS攻击导致系统资源枯竭镜像安全:镜像中潜在的漏洞和恶意代码供

JeffWoodNo.1·2025-07-07 00:07

如果你仍然在使用XP，请加固它

XP系统因为过于老旧，充满漏洞，非常不安全，如果将其暴露在公网立刻就会被攻陷。但若你有老旧的服务仍需要运行于XP，就需要对XP进行加固处理以提高安全性。

haierccc·2025-07-07 00:35

vue在ios手机上的一些问题（这次写的h5公众号）和后面补充的小程序问题

坑一：使用定位fixed，底部导航不显示，代码我就不写，总结就是定位套定位，心累代码太多不想贴；坑二：禁止页面放大缩小，解决：Vue移动端禁止页面放大缩小_fuf_xyxnxss的博客-CSDN博客_移动端禁止放大缩小坑三

摆烂兔·2025-07-06 22:19

测试高频常见面试场景题汇总【持续更新版】

安全测试：验证登录功能的安全性，防止常见的安全漏洞。兼容性测试：测试登录功

潮_·2025-07-06 19:14

Vue-Vue 中 v-html 内容不换行？别忘了 white-space: pre-wrap

正确解决方案拓展知识点：white-space的几种常见取值安全性提示：小心XSS攻击总结引言在开发Vue项目的过程中，我们经常会遇到需要将服务端返回的HTML字符串渲染到页面上的需求，最常用的方式就是通过

·2025-07-06 17:35

网络安全人士必备的30个安全工具_在网络安全方面,有哪些必备的安全软件和工具（非常详细）从零基础到精通，收藏这篇就够了！

2.MetasploitMetasploit是一个免费的、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业

·2025-07-06 12:48

工业控制系统五层架构以及PLC、SCADA、DCS系统，从零基础到精通，收藏这篇就够了！

别逗了，安全视角下它漏洞百出！IEC62264-1定义的那个“经典五层架构”，听起来很美，从物理设备到企业决策，层层递进。但说实话，在网络安全专家眼里，它简直就是一张漏洞百出的地图！

·2025-07-06 12:45

SQL注入与防御-第四章-5：权限提升

攻击者通过利用数据库漏洞、配置缺陷或内置功能，将普通用户权限提升至管理员（如SQLServer的sysadmin、Oracle的DBA），从而：访问所有数据库、表、敏感数据（如密码、配置）。

在安全厂商修设备·2025-07-06 08:19

网络安全实入门| 剖析HTTP慢速攻击（Slowloris）与Nginx防护配置

攻击者通过以下方式实现目标：协议漏洞利用：利用HTTP协议对请求完整性的依赖，例如不发送完整的请求头（如缺少\r\n\r\n结尾标识），使服务器持续等待数据。

码农突围计划·2025-07-06 05:01

Android WebView 性能优化指南

优化需要从多个维度综合考虑：优化维度关键措施预期收益初始化延迟加载、实例复用降低内存峰值渲染硬件加速、合理布局提升流畅度20%+内存独立进程、泄漏防护减少OOM风险网络缓存策略、资源拦截节省流量30%+安全漏洞修复

·2025-07-06 05:00

【微信小程序】小程序的双线程架构，为什么要设计成双线程的，双线程之间如何通信

渲染线程：渲染层使用了WebView负责渲染界面，包括解析wxml，wxss，样式计算，布局排版和绘制试图等操作。

我有一棵树·2025-07-06 05:29

掌握小程序开发框架，驰骋小程序领域

掌握小程序开发框架，驰骋小程序领域关键词：小程序框架、WXML、WXSS、逻辑层、组件化开发、生命周期、跨平台摘要：本文以“如何系统掌握小程序开发框架”为核心，通过生活比喻、代码实战和场景分析，拆解小程序框架的核心组成

小程序开发2020·2025-07-06 05:28

网络安全理论第二章

网络应用层的安全隐患IP层通信的欺骗性（假冒身份）局域网中以太网协议的数据传输机制是广播发送，使得系统和网络具有易被监视性（监听账号和密码）2.1影响信息安全的隐患(脆弱性)先天不足——系统软件有缺陷操作系统有漏洞

阿瓒119·2025-07-05 19:23

网安系列【3】之深入理解内容安全策略（CSP）

基本指令解析三简单到复杂：CSP策略示例3.1示例1：最基本的CSP策略3.2示例2：允许特定CDN资源3.3示例3：更复杂的策略四CSP进阶概念4.1非ce与哈希值4.2报告机制五CSP案例5.1案例1：防止XSS

缘友一世·2025-07-05 17:40

2025web建议

·2025-07-05 17:06

浅谈企业 SQL 注入漏洞的危害与防御

目录浅谈企业SQL注入漏洞的危害与防御一、SQL注入漏洞的现状二、SQL注入带来的风险三、SQL注入漏洞的分类（一）按利用方式分类（二）输出编码（三）使用预编译语句（四）日志监控（五）使用WAF（WebApplicationFirewall

阿贾克斯的黎明·2025-07-05 14:44

【DBA手记】-MySQL小版本升级文档-从5.7.30升级到5.7.42

mysqldump或xtraback等常用备份工具做好备份工作.备注:本文是整理的之前一个笔记author:superSongEmail:[email protected]背景及环境因扫描出mysql有安全漏洞

DBA.superSong·2025-07-05 11:51

渗透测试中 phpinfo() 的信息利用分析

然而一旦该页面被暴露到互联网上，攻击者便可以借此收集大量目标系统的重要信息，从而为后续的漏洞利用、权限提升、提权横向等行为打下基础。本文将从实战角度分析phpinfo()页面中各类信息的渗透利用方式。

vortex5·2025-07-05 04:37

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复

一、问题描述：step1:TLS是安全传输层协议，用于在两个通信应用程序之间提供保密性和数据完整性。TLS,SSH,IPSec协商及其他产品中使用的IDEA、DES及TripleDES密码或者3DES及Triple3DES存在大约四十亿块的生日界，这可使远程攻击者通过Sweet32攻击，获取纯文本数据。二、解决办法：step2:编辑nginx的配置文件，修改ssl_ciphers后面的参数：ssl

海底列车·2025-07-04 21:57

漏洞名称：SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

修复流程：本地计算机—Windows设置—管理模板—网络—SSL配置设置-点击启用—SSL密码套件顺序处更改新的加密套件TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_E

一条鱼呀i·2025-07-04 21:24

【学习笔记】微信小程序代码构成（附图）

一、微信小程序有四种类型文件：1.JSON配置文件（.json后缀）2.WXML模板文件（.wxml后缀）3.WXSS样式文件（.wxss后缀）4.JS脚本逻辑文件（.js后缀）二、JSON配置：1.JSON

·2025-07-04 17:56

2025年渗透测试 vs 漏洞扫描：本质区别与协同防御实战指南

然而，渗透测试（PenetrationTesting）与漏洞扫描（VulnerabilityScanning）仍被大量混淆——前者年成本超百万仍一票难求，后者自动化率突破90%却误报率居高不下。

上海云盾商务经理杨杨·2025-07-04 11:47

推荐频道