(本文首发于先知社区,链接:https://xz.aliyun.com/t/6530)
前言
靠着大腿混进决赛.膜ex师傅,膜impakho师傅.
主办方的权限控制,题目难度之类的都做得非常好.只可惜我太菜了,根本找不到洞,只会划水摸鱼.
赛制也对我这样的菜鸡非常友好.攻击和防守都可以得分,按结果来看,防守也是大多数队伍的主要得分方式.
也就是说,只要写一个可以过check的通防waf,就可以拿分.
(本文首发于先知社区,链接:https://xz.aliyun.com/t/6530)
靠着大腿混进决赛.膜ex师傅,膜impakho师傅.
主办方的权限控制,题目难度之类的都做得非常好.只可惜我太菜了,根本找不到洞,只会划水摸鱼.
赛制也对我这样的菜鸡非常友好.攻击和防守都可以得分,按结果来看,防守也是大多数队伍的主要得分方式.
也就是说,只要写一个可以过check的通防waf,就可以拿分.
(本文首发于星盟安全公众号,链接:北极星杯AWD-Web-Writeup)
祝祖国70周年生日快乐,也祝星盟一周年生日快乐.感谢各位师傅在国庆假期抽出时间参加这次比赛,也感谢负责组织比赛的师傅忙前忙后.
大哥大嫂国庆好!!!
本文原发于sec圈 : https://www.secquan.org/Discuss/1070283 ,博客转自本人仅做备份用途
本文原发于先知社区 https://xz.aliyun.com/t/6238 , 博客转自本人仅做备份用途
最近遇到多位老哥在骂,qq空间的链接一点就转发了一个封面为色情图片,内容为菠菜站的链接.我就好奇这难道是qq空间的XSS蠕虫?
本文原发于https://www.secquan.org/Notes/1070004,博客转自本人仅做备份用途
各大网站以及SRC之类的地方提交漏洞免不了需要截图,手动截图费时费力,我也深受其扰.使用python调用windows api实现自动截图才是正道.可能有很多师傅已经知道了,但是还是厚颜无耻写下.
本文原发于星盟微信公众号 https://mp.weixin.qq.com/s/3Qz-ccL2Ynf1YnBlBxjgCQ , 博客转自本人仅做备份用途
最初发现来自实验室的小伙伴,但是仅限于弹窗,后来发现这种类型的payload构造思路来自XSS挑战第一期Writeup和XSS挑战第二期Writeup以及使用了fuzz的一些小技巧,可以实现任意js代码执行.
绕云waf简单的方式就是绕过cdn,找真实ip,翻一下历史解析记录基本都能找到,也有一些工具,比如我在另一篇文章收集的fuckcdn
有些时候绕不过去cdn,又存在xss漏洞.报告里要是不能验证漏洞就等于没有漏洞,那就只能硬怼玄武盾了.
比赛过去已经比较久了,拖延症一直懒得写wp.
去年也参加过ciscn,基本上只解了个签到题就进了线下(丢人)
今年稍微好一点,但是参数队伍明显多了,还好线下赛也扩容了.
确确实实,真真切切的意识到自己和大佬们的差距,不仅仅是比赛经验带来了,还有思维方式以及学习能力的差距.