一个基于http://socket.io的聊天室,当时进去很混乱,也很纳闷一个公共的聊天室打XSS别人不会上车吗?但实际不是这样的,重点是这个http://socket.io的问题 (准确来说是http://socket.io中的parseuri问题)。 题目给了源码,前端index.html关键部分。 function reset() { location.href = `?nickname=guest${Str...
iframe有个 allow 属性,用于为指定其 特征策略 ,所以我们完全可以限制iframe页面的一些功能,像可以禁掉其中的一些api,比如 xhr。 阅读原文:[原创]Realworld CTF 2023 The_cult_of_8_bit详解 JSONP iframe
· 实验四(CTF实践) · LitCTF-Writeup-BlackManba 阅读排行: · 如何给本地部署的DeepSeek投喂数据,让他更懂你 · 超详细,DeepSeek 接入PyCharm实现AI编程!(支持本地部署DeepSeek及官方Dee · 用DeepSeek 给对象做个网站,她一定感动坏了 · .NET 8.0 + Linux 香橙派,实现高效的 IoT 数据采集与...
本文深入解析了 Realworld CTF 2023 中的 ChatUWU 挑战。题目主要围绕一个基于 socket.io 的聊天室,其核心问题在于 socket.io 中的 parseuri 问题,而非 DOMPurify 的过滤漏洞。首先,题目提供了源码,其中前端的关键部分为 index.html。后端代码使用了 DOMPurify 来过滤传入的 from 和 text,但分析...
继续往下看,程序在完成connect以后,有个lib::protocol::rc4::Rc4$LT$T$C$V$GT$::new::h22d438f41ed76e26 的调用,而接下来跟着就是一个tokio::task::spawn的操作, 所以怀疑流量是经过了rc4加密,调试了一下发现加密密钥是explorer。因此可以从pcapng中把所有data...
Real World CTF 是长亭科技主办的国际级CTF 大赛,采用CTF 夺旗赛和 Pwn 赛结合的全新赛制,赛题全部基于现实世界软件的修改或二次开发,是国内举办的以技术难度高、国际化参赛阵容强、接近真实世界体验感而著称的国际赛事。2018年举办首届即吸引5大洲,15 个国家地区近千支顶尖战队参赛,到第四届已有将近2000支上万人...
RealWorldCtf2023-The_cult_of_8_bit详解 前言 很难的题,也是很有趣的题 这题要用到的一些知识点 同源策略 jsonp Same Orign Method Execution (同源方法执行) 浏览器的opener对象 iframe XHR 特征策略 提前要了解的一些东西 关于同源策略 同源策略具体可以参见文档...
Real World CTF 2023 XOR战队 IAL设计局 关注 专栏/Real World CTF 2023 XOR战队 Real World CTF 2023 XOR战队 2023年01月08日 21:24394浏览· 2点赞· 0评论 IAL设计局 粉丝:2017文章:17 关注本文禁止转载或摘编 分享到: 投诉或建议 评论0 最热 最新 请先登录后发表评论 (・ω・) 发布...
另外,开始跟着nepnep的师傅复现CVE,并且打了realworldCTF,开始越来越向实战世界靠近。今年还第一次提交了一个linuxqq的小漏洞,获得了小小的安全币。除此之外,今年还在合天网安和Freebuf发布和被精选了多篇文章。学习IoT安全的过程,还自己写了一个模拟固件的小工具Sevnup。
网络安全俱乐部积极参加并在多个方面协助全国大学生信息安全与对抗技术竞赛(简称ISCC)的举行,也多次参加其它有关网络安全的比赛。部分优秀成员曾多次代表学校参加各大赛区联赛,取得了CISCN 全国大学生信息竞赛·华北赛区二等奖、2022 Real World CTF特等奖等奖项。