Need help with sec_interview_know_list?
Click the “chat” button below for chat support from the developer who created it, or find similar developers for support.

About the developer

tiaotiaolong
181 Stars 38 Forks 36 Commits 2 Opened issues

Description

信息安全方面面试清单

Services available

!
?

Need anything else?

Contributors list

# 330,721
Securit...
35 commits

被虐经历

知识清单

  • xss防御相关

    • 编码防御

      • html实体编码
      • js编码
      • url编码
      • 输出点在标签内部应该怎么防御?
      • 输出点在标签外部应该怎么防御?
      • 三种编码的关系,以及什么地方用到什么编码
      • 浏览器解码的过程
      • 开启httponly的情况下如何利用XSS漏洞
      • xss输出在注释里怎么利用 (换行符利用)
      • 如果页面是gbXXX 如何利用宽字节进行xss利用
      • 在xss利用过程中 讲 < 写成 \u003c 可以绕过安全防护 请问这个安全防护的思路是什么
      • XSS防御的7大原则
      • 心伤的瘦子XSS教程
      • 富文本防御XSS的思路
      • 如果 ”javascript“字符串被过滤了,你的绕过思路是什么?
        • 大小写
        • Tab 空格 回车(%0a)
        • 插入 “/**/” \0 \
        • 编码
      • CSS中expression表达式可以插入xss吗
      • 如果输出点在css style标签中 要注意expression表达式 import等之类
      • XSS编码方案(方案普遍性很高,具体要看业务场景)(大家自行思考为什么这么做?)
      • 关于xss编码与浏览器解码的原因 这个是个硬核知识点,基本上前端的xss安全绕过问题都是基于浏览器的特性来发现的,推荐阅读研究:深入理解浏览器解析机制和XSS向量编码 这个可以解释很多标签 比如svg标签。

        • 当输出点出现在HTML标签属性:
            < -> <
            > -> >
            & -> &
            " -> "
            ' -> '
        
        • 当输出点出现在

We use cookies. If you continue to browse the site, you agree to the use of cookies. For more information on our use of cookies please see our Privacy Policy.