11分钟
App 保护
JSON中的XSS:现代应用程序的老派攻击
这篇文章强调了跨站点脚本是如何适应今天的现代web应用程序的, 特别是API和Javascript对象符号(JSON).
9分钟
App 保护
Web中的内容安全策略(csp)概述
内容安全策略是一种协议,它允许站点所有者控制浏览器在网页上加载哪些资源, 以及这些资源如何被加载.
4分钟
App 保护
如何防止跨站脚本(XSS)攻击
跨站点脚本(XSS)并不新鲜,但它的影响和可见性都在增长. 以下是保护它们免受XSS攻击所需了解的内容.
6分钟
App 保护
应该使用SAST、DAST还是RASP应用程序安全工具?
在这个博客中, 我们讨论了所有关于web应用程序的事情,以及如何选择正确的应用程序安全解决方案来保护它们免受攻击.
2分钟
漏洞的披露
R7-2017-06 | CVE-2017-5241: Biscom SFT XSS漏洞(修复)
Summary
Biscom安全文件传输(SFT)版本5的工作区组件.1.1015
易受跨站点脚本存储在两个字段. 攻击者会
需要有能力创建一个工作空间,并引诱受害者访问
的上下文中运行恶意Javascript
受害者的浏览器. 由于受害者必须经过身份验证,这可以允许
攻击者在Biscom安全文件传输实例上执行操作
受害者的代表.
4分钟
漏洞的披露
R7-2016-24, 开放的nNMS通过SNMP存储XSS漏洞(CVE-2016-6555, CVE-2016-6556)
在web应用程序中存储服务器跨站点脚本(XSS)漏洞
开放的nNMS组件[http://www].opennms.通过简单网络
SNMP (Management Protocol). 不需要身份验证就可以利用.
信贷
这个问题是由独立研究员Matthew Kienow发现的
[http://twitter.http://www.hacksforprofit],并由Rapid7报道.
产品的影响
测试并成功利用了以下版本:
* 开放的nNMS版本18.0.0
* 开放的nNMS版本18.0.1
开放的
13分钟
漏洞的披露
多网络管理系统的多重披露,第2部分
您可能还记得,早在12月,Rapid7就披露了6个漏洞
[/ 2015/12/16 / multiple-disclosures-for-multiple-network-management-systems]
影响四种不同的网络管理系统(NMS)产品
海地[http://twitter].Rapid7和独立的
研究员Matthew Kienow [http://twitter].com/hacksforprofit]. 3月,德拉尔
接着是另一对漏洞
[/ 2016/03/17 / r7 - 2016 - 02 -多个漏洞- - mangeengine含油率
7分钟
XSS
跨站脚本攻击(XSS) vs SQL注入攻击(SQLi)
Web应用程序安全领域的一个常见误解是
跨站点脚本的不同后果
[http://www.rapid7.http://www.fundamentals/crosssite-scripting/]漏洞
SQL注入攻击(SQLi)的后果
[http://9yywrtvh.teehouse-golf.com/fundamentals/sql-injection-attacks/]. 我们甚至可以
step back 和 say the misunderst和ing is on a much broader level; the
客户端可利用漏洞与
爵士
4分钟
苹果
滥用Safari的网页文件格式
tldr:现在,不要打开 .webbarchive文件,检查Metasploit模块,
苹果Safari .webchive文件格式UXSS
[http://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/gather/apple_safari_webarchive_uxss.rb]
Safari的webbarchive格式保存了网页中的所有资源——图片、
脚本,样式表-到一个文件. 安全模型中存在缺陷
在webchives的背后,它允许我们在任何领域的上下文中执行脚本
通用跨站点S