xss

在去年的12月份,我在知乎上看到了一篇名为《如何在Typora编辑器上实现远程命令执行》 的文章。因此我决定要深入挖掘一下,看看 Typora 是否还有其他漏洞。
Check Point Research发现了Epic Game在线平台上的多个漏洞,攻击者可以借助这些漏洞控制任何玩家的账户,浏览玩家个人账户信息、购买V-Bucks和Fortnite游戏内虚拟货币、窃听并记录玩家在游戏内的聊天信息及隐私对话。
Metinfo被爆出存在存储型跨站脚本漏洞,远程攻击者无需登录可插入恶意代码,管理员在后台管理时即可触发。该XSS漏洞引起的原因是变量覆盖,这种情况还是比较少见的,因此打算对这个漏洞进行分析并学习一下思路。
XSS可能还有其他危害,攻击者可以考虑利用Oauth应用,配合XSS窃取Oauth凭据,攻击过程无需用户交互,我也会通过实际网站演示几个攻击样例。
FortiGuard Labs团队最近在Magento中找到了一个Cross-Site Scripting(XSS,跨站脚本)漏洞,漏洞根源在于Magento将用户提供的数据插入动态生成的widget表单时,没有合理过滤用户所输入的数据。
本文将介绍研究人员今年五月份在wordpress上发现的一个具有蠕虫特性的存储XSS漏洞的过程。
不得不说,swpu的师傅们出题还是很用心的,这道题目就很不错,既有前端xss,又有后端提权,可谓是非常全面了,下面我们就简单分析一下。
本篇文章会介绍一些我曾经在某些ios应用中看到的潜在安全问题。我认为程序开发者(同时也包括漏洞挖掘人员)应该意识到这个错误的配置,同时能保证webview的安全性。
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。
慢雾区前后两位白帽黑客给我们反馈了这个 XSS 0day,第一位反馈的很早,但他自己把这个漏洞危害等级定义为低危,我们服务的交易所平台修复后,我们也没特别在意,直到第二位给我们再次提及这个 XSS,我们决定对此漏洞做个剖析。