安全客 - 安全资讯平台

xss

ShareGPT共享chatGPT会话存在XSS

xss

ChatGPT

昨天（3月8号）chatGPT的历史会话保存功能无了(...崩了可能？或者是下线了？)，新的会话都无法保存，历史会话全部丢失

Magpie
2023-03-10 14:00:34

170474次阅读

xss

XSS跨站脚本攻击

xss

Web安全

XSS全称跨站脚本(Cross Site Scripting)，为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故缩写为XSS。

Tide安全团队
2022-05-09 11:00:26

902440次阅读

写给研发同学的富文本安全过滤方案

对于用户编辑文本的功能点，很多时候，业务上需要允许用户输入自定义的样式，比较简单直接的方案就是使用富文本：支持用户在前端自定义的html传入，最终同样以html的形式展现。不同的业务可能有各种各样不同的具体实现形式，但殊途同归，最终都可以抽象成“输入->持久化->输出”来表述。

唐银
2021-12-23 14:30:39

459065次阅读

xss

【伽玛】第七届“湖湘杯” Pastebin | 设计思路与解析

xss

Web安全

渗透测试

本篇分为两部分，第一部分就是解题步骤，第二部分说一下出题过程、设计思路，以及一些不足之处。文末给出本题的附件，感兴趣的师傅们可以玩下。

春秋伽玛
2021-12-01 12:00:26

320241次阅读

漏洞分析

gomarkdown/markdown 项目的 XSS 漏洞产生与分析

gomarkdown/markdown 是 Go 语言的一个流行模块，它旨在快速地将 Markdown 文档转化为 HTML 页面。而此次发现的漏洞，来源于作者在编写其语法树 Parser 的时候无意的一次 unescape。

LemonPrefect
2021-08-23 15:30:08

218214次阅读

xss

探索DOM XSS一个trick的原理

xss

Web

前段时间P牛在他的星球发了一个XSS的小挑战（关于挑战的更多细节和解法见P牛的博客或者星球），我用的是DOM clobbering的方式完成。事后P牛给出了另一个trick，我看不懂但大受震撼，所以本文就来探讨一下这个trick的原理。

eifiz
2021-08-23 10:30:08

353052次阅读

xss

梨子带你刷burpsuite靶场系列之客户端漏洞篇 - 跨站脚本(XSS)专题

xss

BurpSuite

Web安全

XSS全称是cross-site script，burp官方的解释是允许攻击者与应用程序进行交互。

NaTsUk0
2021-08-03 14:30:47

360478次阅读 4

xsstrike 源码分析

github地址 https://github.com/s0md3v/XSStrike。

Recar
2021-07-29 15:30:21

189010次阅读

xss

OpenRASP xss算法的几种绕过方法

xss

OpenRASP

waf

openrasp默认只能检测反射型XSS，存储型XSS仅IAST商业版支持。对于反射型xss，openrasp也只能检测可控输出点在html标签外的情况，本文的绕过方法是针对这种情况。如果可控输出点在html标签内，如<input type="text" value="$input">或<script>...</script> 内部，openrasp几乎检测不到。