JS 实现浏览器的 title 闪烁、滚动、声音提示、chrome、Firefox、Safari等系统弹出通知。它没有依赖,压缩只有只有4.66kb(gzipped: 1.70kb),demo 实例预览。
作者:matrix 被围观: 2,424 次 发布时间:2013-09-16 分类:Wordpress 零零星星 | 无评论 »
当我们输入<script>alert('Eastmount') 时,并没有弹出窗体,运行结果如下图所示:
写这篇博文起源来自于一次网络安全实验课,在实验虚拟环境里有一个xss挑战,估计是搬别人的xss挑战进来,我觉得挺有意思,就记录一下。有些关卡不能再虚拟环境实践,我在自己物理机上找到那个xss挑战平台进行实现。
做测试这一行,总有一道绕不过去的坎就是定位bug,这其实是非常花费时间的。也许有很多人不以为然,觉得无非就是发现bug后提交bug管理系统,描述操作步骤,预期结果和实际结果哪里不一致,然后继续测试。并不是说这样做的不对,只是说这样做的不够好,看似节约了测试时间,实则对于项目的进度没有起到应有的推动作用。学会定位原因也是自我提升的一个过程
在移动互联时代不断地发展,各大搜索引擎也都争相推出了移动端的搜索算法和排名,同时在不断地算法调整演变中,对于网站SEO的用户搜索体验要求也变得越来越大。而今很多企业网站移动端关键词排名均难以做上首页。那这是影响移动网站排名的重要因素都有哪些呢?
在写一个html的瀑布流的布局,蓝后今早打开一看,啥,昨天还好好的瀑布流效果呢[一脸懵逼]
Windows 电脑自从安装了 Flash, 在工作时总会莫名其妙的在屏幕中央弹出一个很 low 的,大大的,伴随着各种广告的信息流弹窗(大都是一些标题党类的新闻,吸引眼球)。
在前段时间参加的CTF中,有一个词语又被提出来,Service Worker,这是一种随新时代发展应运而生的用来做离线缓存的技术,最早在2015年被提出来用作攻击向,通过配合xss点,我们可以持久化的xss控制。
前言 谷歌浏览器是目前为止口碑比较好的一款浏览器吧,虽然有些地方操作确实不如其他浏览器方便,但是大体上还是比其他浏览器好太多。 近日,博主在网上的小说网看小说的时候就发现,只要这样设置,就没广告,不得
谷歌浏览器是目前为止口碑比较好的一款浏览器吧,虽然有些地方操作确实不如其他浏览器方便,但是大体上还是比其他浏览器好太多。
本文章产生的缘由是因为专业老师,让我给本专业的同学讲一哈SQL注入和XSS入门,为了备课,于是产生了这篇文章。
4月1日凌晨,火绒安全团队发出警报,部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。
详见开发文档:https://doc.fastadmin.net/docs/index.html
距离上次搞闲鱼诈骗网站已经过去20多天了。这20多天里,搞了很多的钓鱼站,类似什么黑咖的
起因是网友“国王与乞丐”反馈的http://lpl.qq.com/es/live.shtml页面播放不了flash。
HTML一键打包EXE工具(HTML封装EXE,桌件)能把任意HTML项目(网址)一键打包为单个EXE文件,可以脱离浏览器和服务器,直接双击即可运行。支持KRPano全景VR项目,WebGL游戏项目(Egret游戏打包,Cocos游戏打包,RPG MV Maker游戏打包),课件打包,网址打包等.
XSS,全称Cross Site Scripting,即跨站脚本攻击,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据攻击代码的工作方式,XSS可以分为反射型的XSS、存储型的XSS和DOM型的XSS。
Flash Xss进阶 [ExternalInterface.call第一个参数]
而AjaxFileUpload插件的上传文件处理方式是,获取返回的实体内容,直接进行eval 解析,解析失败,报错,则无法上传
没想到,在正式宣布其“死刑”之后一年,Flash 在国内却以这样一种方式成为热议话题。Adobe 近期与国内一家公司达成合作,为国内用户提供特供版Flash,并且在其隐私声明中明确表示可能会收集用户信息,有意思的是在媒体曝光之后,很快该公司又重新修改了隐私声明。
最近碰到个内网网站报错:“必要的组件未能正常运行,请修复Adobe Flash Player”。看到第一眼感觉很简单官网下载最新的flash插件安装下就行,然而却翻车了,安装官网最新版插件还是解决不了;flash修复工具检测系统确实缺个必要的组件,但需要联网修复;问题定位到了,就是缺少FlashHelperService.exe文件或者这个服务,并且360安全卫士等安全软件也没有禁用这个服务,下面小编和大家聊聊处理过程。
接触JavaScript和ActionScript3也有近5年的时间了,它们都是应用比较广泛的脚本语言,经过这几年的工作和学习,静下来的时候想总结一些东西,作为技术上的沉淀以及培训所用,所以就有了这篇文章。先来看看二者的同性与差异性:
前端爱好者的知识盛宴 Hello,各位前端ers,周末好! 今天的供稿人是鹅厂的ChokCoco... 作为前端大神... 不可避免会接触Chrome... 这是一款好用的插件会帮你提升质感... 如果你有好的Idea... 想做好的插件并发布... ChokCoco会手把手教你... 并且征服各项难点... 欢迎转发和留言... 文末会有ChokCoco的博客... 欢迎有事没事上去逛一逛... 什么是 chrome 扩展程序 扩展程序是一些能够修改或增强 Chrome 浏览器功能的小程序。对于前
之前有朋友给我发送email,询问我是否有单个文件上传的源代码,因为当时写这个好像是在09年,所以放哪了一时也没找着。后来整理硬盘的时候,找到了源码,所以决定来个汇总(之前写过的关于flash+js上传文件的例子):
注意:先调用ExternalInterface.addCallback,再调用ExternalInterface.call
所以,目前的解决办法是在layer层创建之后,移除这个class即可(注意在success回调中置于下一轮事件循环)
目前主流浏览器(Chrome, Edge) 打开4399的Flash游戏时, 会显示当前浏览器或模式不支持打开游戏,提示需要下载Flash 插件,必须使用国产浏览器才可以。
只有这里有回显 第一个是refer 第二个是useragant 猜测这个就是cookie的xss了
有些授权测试中,允许红队人员用社会工程学之类的方法进行渗透。钓鱼和水坑则是快速打点或横向的常用手段。钓鱼通常需要绕过目标邮件网关等安全设备,水坑则需要摸清目标的操作习惯。在此简单的罗列一下布置水坑的方法。ps:本文未涉及任何真实案例。
关于 chrome 扩展的文章,很久之前也写过一篇。清除页面广告?身为前端,自己做一款简易的chrome扩展吧。 本篇文章重在分享一些制作扩展的过程中比较重要的知识及难点。 什么是 chrome 扩展
网马的本质是一个特定的网页,这个网页包含了攻击者精心构造的恶意代码,这些恶意代码通过利用浏览器(包括控件、插件)的漏洞,加载并执行攻击者指定的恶意软件(通常是木马)。 网站挂马是黑客植入木马的一种主要手段。黑客通过入侵或者其他方式控制了网站的权限,在网站的Web页面中插入网马,用户在访问被挂马的网站时也会访问黑客构造的网马,网马在被用户浏览器访问时就会利用浏览器或者相关插件的漏洞,下载并执行恶意软件。其本质是利用浏览器和浏览器控件、插件的漏洞,通过触发漏洞获取到程序的执行权限,执行黑客精心构造的shellcode。
记得有一次组内分享,以弹窗为例讲了如何创建可复用的vue组件,后面发现这个例子并不恰当(bei tiao zhan),使用组件需要先import,再注册,然后再按照props in events out原则使用,无论从流程或者使用方式来说都相当麻烦。
前言 官网:https://www.aardio.com/ 使用IE内核加载网页 import web.form; /*DSG{{*/ var winform = win.form(text="WebBrowser";right=1365;bottom=767) winform.add() /*}}*/ var wb = web.form( winform ) web.form.gpuRendering(true,11001); wb.go("https://www.psvmc.cn/zjtools/
Zero Clipboard的实现原理 Zero Clipboard 利用透明的Flash让其漂浮在复制按钮之上,这样其实点击的不是按钮而是 Flash ,这样将需要的内容传入Flash,再通过Flash的复制功能把传入的内容复制到剪贴板。 Zero Clipboard的安装方法 首先需要下载 Zero Clipboard的压缩包,解压后把文件夹中两个文件:ZeroClipboard.js 和 ZeroClipboard.swf 放入到你的项目中。 然后把在你要使用复制功能的页面中引入Zero Clipbo
5、重点 ---- 必须在结尾处必须调用 out.flush(); 代码,窗口才能实现,不然提示弹窗无效
0x01 HTML中嵌入FLASH 在HTML中嵌入FLASH的时候在IE和非IE浏览器下嵌入的方式有所不同,可以使用embed标签和object标签,使用如下的代码进行嵌入: IE下嵌入 <object codeBase="http://fpdownload.macromedia.com/get/Flashplayer/current/swFlash.cab#version=8,0,0,0" classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000"> <pa
大家好,又见面了,我是你们的朋友全栈君。flash cookie是什么,有什么作用,这些不做介绍,可以在网上搜,这里主要是做一个制作和使用flash cookie的例子
想在互联网上做个踏实的人,而不是个喷子,喜欢技术,所以会一直更,哪怕因为各种不可抗击的因素而不得不降低频率,学习是自己的事,不管在哪,不论干啥,付出总有回报,早晚的事,目前的技术属于第一波,互联网扫盲的,所以不会讲太深,但是会提供无极君精心挑选的资源,有兴趣自己研究的可以沿着每次推文提供的思路,往深坑走下去,每个大牛都是这么走过去的,我没走完,所没毕业,所以菜。
时间到了2020年,大家打开Chrome浏览器,“又”会收到一条警告。转眼之间,离Chrome停用Flash只剩8个月。
简介 跨站脚本攻击(Cross Site Script)为了避免与层叠样式表CSS混淆,故称XSS。XSS是指攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而将一些代码嵌入到web页面中去,使得别的用户访问也好执行相应的嵌入代码,从而盗取用户资料、利用用户身份进行某些动作或对访问者进行病毒侵害等攻击。反射型和存储型XSS的作用一样,只是用户触发形式不同。 类型 反射型:反射型XSS攻击,又称为非持久型跨站脚本攻击,它是最常见的XSS类型。漏洞产生的原因是攻击者注入的数据反映在响应上,一个
大家好,我是FreeRonin,今天要介绍的是一个非常著名的软件---Adobe Flash Player,相信用过PC机的小伙伴们,肯定都用过Flash插件,无论是玩页游还是看视频,一般都离不开Flash。而这款大家习以为常的插件,不知从何时起,我们在国内Adobe Flash Player的官网下载的安装包却变成了“中国特供”。这个特供,不是为我们做了优化,而是附带了一个窃取用户隐私的“监视器”。
在上期文章中,FinClip的工程师和我们主要聊了聊如何写出小程序的样式内容。在本期文章中,我们来看一下如何在小程序中使用 js 的,即在小程序中使用脚本内容处理内容或样式的改变。
Adoebe官方网站发布了公告,2020年12月30日起终止支援Flash。目前Chrome、Edge等浏览器都会有提醒。用户默认不开启Flash,如果页面视频采用Flash进行播放,都会收到如下提示:
本文的目的是深层次的分析Flash的ExternalInterface的XSS漏洞,并提出比较有效的解决方案。 首先,我们看看什么情况下,会出现XSS。 第一种情况: 把flashvars传入的参数(或者其他能被别人控制的方式)当ExternalInterface.call的第一个参数 package { import flash.display.Sprite; import flash.external.ExternalInterface;
web.blink(miniblink)使用新版chromium内核,并且精简了体积,兼容WKE( WebKit )组件的接口。 aardio中提供了基于WKE( WebKit )的web.kit 扩展库,也提供了基于miniblink的web.blink扩展库。 这两个扩展库基本的用法是一样的( 因为接口基本一样 )。
原理跟Silverlight中的几乎如出一辙(见Silverlight如何与JS相互调用): ActionScript3代码: btnCallJs.addEventListener(MouseEvent.CLICK,fnCallJs); function fnCallJs(e:MouseEvent):void { trace("准备调用..."); //调用js中的JsHello方法,并将返回值显示到Label中 lblResult.text=ExternalInterface.call("JsHe
领取专属 10元无门槛券
手把手带您无忧上云