烏雲白帽大會筆記

2021-07-14 16:20:42 字數 958 閱讀 5543

otherwindow.postmessage(message, targetorigin);
otherwindow:指目標視窗,也就是給哪個window發資訊,是window.frames 屬性

window.open 方法建立的視窗

postmessage

需要特別嚴謹驗證:輸入,origin

如:驗證domain 是不是等於 「的 -》

popup = window.open(domain+'其他路徑',『mywindow』); popup.postmessage(message.domain);
然後建立監聽事件:

window.addeventlistener('***', function

(event),false)

https的站不建議使用onmessage

不要相信任何人給發的鏈結

data: 資訊

origin: 資訊**位址

source: 源domwindow 物件

var onmessage = function (event) 

if (typeof

window.addeventlistener != 'undefined') else

if (typeof

window.attachevent != 'undefined')

空referer或js的url跳轉漏洞會繞過白名單referer限制

window.open 到iframe裡的時候,瀏覽器popup blocker不會提示

origin校驗可能會不嚴謹:indexof(「www.wooyun.org」 ) !=-1

regexp(「^ 這裡的點可以表示任意字元

ref:來自 烏雲著名段子手—— 呆子不開口

黑帽白帽問題

題目 總共有3頂黑帽子,2頂白帽子。a,b,c三人分別在關燈時隨機拿起一頂帽子戴上。開燈之後,a看完b和c帽子,說不知道自己戴的是什麼帽子。b看完a和c的帽子,也說不知道自己戴的是什麼帽子。c本來聽完a說的話,也不知道自己戴的什麼帽子,但是聽完b的話後,知道了自己戴的是什麼帽子。a,b,c三人均不會...

白帽偽裝white hat cloaking案例

以下站長俱樂部裡面的提出的乙個cloaking偽裝問題 尊敬的lee您好,我一直關注著貼吧站長吧,而且也學到了不少關於與 之間關係,也很感謝給我們站長朋友帶來的幫助。但是,我這裡一直有個不知道怎麼解決的問題。所以還請lee朋友指點一下。我的 是www.fuwuta.com建立已經有2個多月了。當時系...

白帽SEO和黑帽SEO

不過,正如人不能簡單地以非好即壞評判一樣,這樣的非黑即白 非白即黑事實上也不能準確概括seo市場的實際情況,畢竟中間存在著很多過渡色。站在黑帽seo的立場上,這種放長線掉大魚的策略,即使很正確,有的人也不願意這麼做。認真建設乙個 有的時候是一件很無聊的事。你要寫內容,要做調查,要做分析流量,要分析使...