0x00 我們首先講一個webView這種方法的作用： webView.getSettings().setAllowFileAccessFromFileURLs(false); 為了解說這種方法，我們還是看一個實際的樣例。代碼地址還是參考 ...

之前偶然看到群里有小伙汁問這個token相關的問題，當時我醞釀了一下子，沒想好怎么總結，今天來說一下 CSRF在過去還屬於OWASP TOP10 ，現在已經不是了（補充一點：關於OWASP API ...

1 同源策略 所謂同源策略，指的是瀏覽器對不同源的腳本或者文本的訪問方式進行的限制。比如源a的js不能讀取或設置引入的源b的元素屬性。 那么先定義下什么是同源，所謂同源，就是指兩個頁面具有相同的協議，主機（也常說域名），端口，三個要素缺一不可 ...

目錄： 1.同源策略 2.跨域 3.幾種跨域技術 - JSONP, CORS 1.同源策略 什么叫同源？ URL由協議、域名、端口和路徑組成，如果兩個URL的協議、域名和端口相同，則表示他們同源。相反，只要協議 ...

文件上傳的目的：上傳代碼文件讓服務器執行(個人理解)。 文件上傳的繞過腦圖 一.js本地驗證繞過 原理:本地的js,F12查看源代碼發現是本地的驗證 繞過姿勢 1.因為屬於本地的代碼可以嘗試修改,然后選擇php文件發現上傳成功。 2.采用burpsuite,先將文件的名稱修改 ...

1.前端JS驗證 基於本地驗證文件是否符合要求：直接將JavaScript禁用。或者burp抓包后修改后綴，將php文件后綴現先改為jpg，burp抓包后后綴改回php。 2.MIME 類型驗證 ...

　　文件上傳漏洞是Web安全中一種常見的漏洞在滲透測試中經常使用到，能夠直接快速地獲得服務器的權限，如果說一個沒有文件上傳防護規則的網站，只要傳一個一句話木馬就可以輕松拿到目標了。上傳文件上傳漏洞是指用戶上傳了如木馬、病毒、webshell等可執行文件到服務器，通過此文件使服務器 ...

同源策略 一個源的定義 同源策略和跨域解決方案 如果兩個頁面的協議，端口（如果有指定）和域名都相同，則兩個頁面具有相同的源。 舉個例子： 下表給出了相對http://a.xyz.com/dir/page.html同源檢測的示例: URL 結果 原因 ...