mXSS攻击的成因及常见种类

本文原文是由国外大牛Mario Heiderich在2013年所写的一篇paper:mXSS attacks: attacking well-secured web-applications by using innerHTML mutations. 本人觉得此类mXSS攻击较为隐蔽,常规的XSS过滤器并不能防止此类攻击。在测试QQ空间日志中的确存在此类问题后,认为mXSS在WEB应用中还是存 在较大的潜在危害,因此,决定将此文做一个翻译。但是,一来由于水平有限,仅能依靠自己浅薄的理解来大致的翻译一下,文中图片以及代码都是在自己的理解上 加以重新阐述,也许这样更加易于读者掌握。如果英文较好的同学可自行阅读英文原版。二来,我个人仅注重“攻”的一部分,本文中我认为实用性不高的部分,以 及如何防御此类攻击的大幅段落,我并未进行翻译,因而有需要的读者也需要自行去了解这些部分。不论如何,希望本文能够让国内的研究者们对mXSS有一个基 本的了解。

 

继续阅读mXSS攻击的成因及常见种类

短域名进化史,XSS,短网址,长度限制绕过,教你注册超短域名

一个短的域名一直都是很多人所推崇的。因为对于大部分人来说,域名越短就会越好记忆。但是,还存在一部分人,他们不在乎域名是否好记,但是他们巴不得自己的域名只有三位,两位甚至是没有长度。他们,就是XSSer。

继续阅读短域名进化史,XSS,短网址,长度限制绕过,教你注册超短域名

编码大全

编码类型 已进行编码的 URL 的示例
与字符编码 HTTP://host:port/path?V1=D1&V2=D2
与字符 – 十六进制编码 HTTP://host:port/
与字符 – 十进制编码 HTTP:99host:port9
反斜杠编码 HTTP:\/\/host:port\/
百分比十六进制编码 HTTP%3A%2F%2Fhost%3Aport%2F

渣鸟网黑鸟网,团队群号566327591,欢迎加入,走进信息安全,多分享多干事(公众号:黑鸟)