XSS漏洞 | postMessage类型笔记

0x01 postMessage是what?

postMessage API 是在 HTML5 中引入的通信方法,可以在标签中实现跨域通信。

简单来说就是两个网页窗口进行通信的方法。

针对"红队人员"的Github项目投毒发现及分析

0x01 发现背景

"阳康"后在github闲逛时发现同事star了一个后处理免杀项目,看描述说可以绕过任何类型的防病毒产品,自然我也对项目产生了一些兴趣,遂开始查看项目代码并由此开启了本次的投毒项目分析。

PS:此前并未在其他渠道发现本次分析项目的预警

redteam之实战隧道代理方案

0x01 浅言

​ 在红队行动中,搭建隧道几乎可以说是必遇到的攻击场景之一,所以提前准备好相应的隧道代理方案对于提高攻击效率尤为重要,实际项目中会遇到的问题也是本文主要解决的问题如下:

加解密传输通杀方案之JSRPC

0x01 序言

前端的加解密一直是很多师傅经常遇到过的问题,一个加解密传输,签名,防篡改,导致很多时候没有办法对参数的值进行更改,代码中存在的web漏洞也没办法测试出来,当然这也是一种符合所有场景的防御办法,增加攻击成本,是一个很棒的防御方案。

一次"绕"过waf的经历

0x01 描述

实战中遇到了2次这种绕过场景,第一次并没在意,以为可能是对面的waf或者部署方面有一定的问题
,然后第二次也是同样方法,遂记录一下

/* */
//
//
召唤伊斯特瓦尔