Enviar búsqueda
Cargar
Telligem 1_xss
•
2 recomendaciones
•
440 vistas
P
paitoubing
Seguir
Tecnología
Vista de diapositivas
Denunciar
Compartir
Vista de diapositivas
Denunciar
Compartir
1 de 13
Recomendados
架構行動式網站(使用 ASP.NET MVC 4.0 -twMVC#6
架構行動式網站(使用 ASP.NET MVC 4.0 -twMVC#6
twMVC
twMVC#01 | ASP.NET MVC 的第一次親密接觸
twMVC#01 | ASP.NET MVC 的第一次親密接觸
twMVC
Web2.0 attack and defence
Web2.0 attack and defence
hackstuff
Web前端 安全须知 拔赤
Web前端 安全须知 拔赤
jay li
浏览器的跨域安全问题
浏览器的跨域安全问题
guest4ca427
Asp.net mvc security
Asp.net mvc security
LearningTech
Asp.net mvc 從無到有 -twMVC#2
Asp.net mvc 從無到有 -twMVC#2
twMVC
SignalR實戰技巧 twmvc#17
SignalR實戰技巧 twmvc#17
twMVC
Recomendados
架構行動式網站(使用 ASP.NET MVC 4.0 -twMVC#6
架構行動式網站(使用 ASP.NET MVC 4.0 -twMVC#6
twMVC
twMVC#01 | ASP.NET MVC 的第一次親密接觸
twMVC#01 | ASP.NET MVC 的第一次親密接觸
twMVC
Web2.0 attack and defence
Web2.0 attack and defence
hackstuff
Web前端 安全须知 拔赤
Web前端 安全须知 拔赤
jay li
浏览器的跨域安全问题
浏览器的跨域安全问题
guest4ca427
Asp.net mvc security
Asp.net mvc security
LearningTech
Asp.net mvc 從無到有 -twMVC#2
Asp.net mvc 從無到有 -twMVC#2
twMVC
SignalR實戰技巧 twmvc#17
SignalR實戰技巧 twmvc#17
twMVC
Java Script 调试
Java Script 调试
guest8ef035
ASP.NET MVC Code Templates實戰開發 -twMVC#4
ASP.NET MVC Code Templates實戰開發 -twMVC#4
twMVC
ASP.NET MVC之實戰架構探討 -twMVC#5
ASP.NET MVC之實戰架構探討 -twMVC#5
twMVC
浏览器的跨域安全问题
浏览器的跨域安全问题
raystyle
浏览器的跨域安全问题
浏览器的跨域安全问题
raystyle
ASP.NET MVC 內建驗證擴充與活用技巧 -twMVC#3
ASP.NET MVC 內建驗證擴充與活用技巧 -twMVC#3
twMVC
AngularJS 開發 ASP.NET MVC -twMVC#9
AngularJS 開發 ASP.NET MVC -twMVC#9
twMVC
ASP.NET MVC Model 的設計與使用 twMVC#10
ASP.NET MVC Model 的設計與使用 twMVC#10
twMVC
twMVC#19 | 微信公眾平台申請與wechat api 開發血淚史
twMVC#19 | 微信公眾平台申請與wechat api 開發血淚史
twMVC
常用Js框架比较
常用Js框架比较
Adam Lu
xss實戰
xss實戰
Vincent Chi
ASP.NET MVC 4 新功能介紹(快速上手) -twMVC#4
ASP.NET MVC 4 新功能介紹(快速上手) -twMVC#4
twMVC
ASP.NET MVC 新增、查詢、修改、刪除 基本功實戰 -twMVC#3
ASP.NET MVC 新增、查詢、修改、刪除 基本功實戰 -twMVC#3
twMVC
Ext Js开发指导
Ext Js开发指导
clong365
twMVC#05 |開發與移轉 ASP.NET MVC 4.0 應用程式到 Windows Azure Platform
twMVC#05 |開發與移轉 ASP.NET MVC 4.0 應用程式到 Windows Azure Platform
twMVC
使用 ASP.NET MVC 開發SPA網站-微軟實戰課程日
使用 ASP.NET MVC 開發SPA網站-微軟實戰課程日
twMVC
ASP.NET Core 3.0 新功能
ASP.NET Core 3.0 新功能
Edward Kuo
Mvc架構說明
Mvc架構說明
Kemie Lin
Clairol -- Does She...Or Doesn't She?
Clairol -- Does She...Or Doesn't She?
Megan
SugarCRM vs Salesforce.com
SugarCRM vs Salesforce.com
Accent Gold Solutions
Coker Tire Community -- Project 2
Coker Tire Community -- Project 2
Megan
Analysis proposal
Analysis proposal
ufontko
Más contenido relacionado
La actualidad más candente
Java Script 调试
Java Script 调试
guest8ef035
ASP.NET MVC Code Templates實戰開發 -twMVC#4
ASP.NET MVC Code Templates實戰開發 -twMVC#4
twMVC
ASP.NET MVC之實戰架構探討 -twMVC#5
ASP.NET MVC之實戰架構探討 -twMVC#5
twMVC
浏览器的跨域安全问题
浏览器的跨域安全问题
raystyle
浏览器的跨域安全问题
浏览器的跨域安全问题
raystyle
ASP.NET MVC 內建驗證擴充與活用技巧 -twMVC#3
ASP.NET MVC 內建驗證擴充與活用技巧 -twMVC#3
twMVC
AngularJS 開發 ASP.NET MVC -twMVC#9
AngularJS 開發 ASP.NET MVC -twMVC#9
twMVC
ASP.NET MVC Model 的設計與使用 twMVC#10
ASP.NET MVC Model 的設計與使用 twMVC#10
twMVC
twMVC#19 | 微信公眾平台申請與wechat api 開發血淚史
twMVC#19 | 微信公眾平台申請與wechat api 開發血淚史
twMVC
常用Js框架比较
常用Js框架比较
Adam Lu
xss實戰
xss實戰
Vincent Chi
ASP.NET MVC 4 新功能介紹(快速上手) -twMVC#4
ASP.NET MVC 4 新功能介紹(快速上手) -twMVC#4
twMVC
ASP.NET MVC 新增、查詢、修改、刪除 基本功實戰 -twMVC#3
ASP.NET MVC 新增、查詢、修改、刪除 基本功實戰 -twMVC#3
twMVC
Ext Js开发指导
Ext Js开发指导
clong365
twMVC#05 |開發與移轉 ASP.NET MVC 4.0 應用程式到 Windows Azure Platform
twMVC#05 |開發與移轉 ASP.NET MVC 4.0 應用程式到 Windows Azure Platform
twMVC
使用 ASP.NET MVC 開發SPA網站-微軟實戰課程日
使用 ASP.NET MVC 開發SPA網站-微軟實戰課程日
twMVC
ASP.NET Core 3.0 新功能
ASP.NET Core 3.0 新功能
Edward Kuo
Mvc架構說明
Mvc架構說明
Kemie Lin
La actualidad más candente
(18)
Java Script 调试
Java Script 调试
ASP.NET MVC Code Templates實戰開發 -twMVC#4
ASP.NET MVC Code Templates實戰開發 -twMVC#4
ASP.NET MVC之實戰架構探討 -twMVC#5
ASP.NET MVC之實戰架構探討 -twMVC#5
浏览器的跨域安全问题
浏览器的跨域安全问题
浏览器的跨域安全问题
浏览器的跨域安全问题
ASP.NET MVC 內建驗證擴充與活用技巧 -twMVC#3
ASP.NET MVC 內建驗證擴充與活用技巧 -twMVC#3
AngularJS 開發 ASP.NET MVC -twMVC#9
AngularJS 開發 ASP.NET MVC -twMVC#9
ASP.NET MVC Model 的設計與使用 twMVC#10
ASP.NET MVC Model 的設計與使用 twMVC#10
twMVC#19 | 微信公眾平台申請與wechat api 開發血淚史
twMVC#19 | 微信公眾平台申請與wechat api 開發血淚史
常用Js框架比较
常用Js框架比较
xss實戰
xss實戰
ASP.NET MVC 4 新功能介紹(快速上手) -twMVC#4
ASP.NET MVC 4 新功能介紹(快速上手) -twMVC#4
ASP.NET MVC 新增、查詢、修改、刪除 基本功實戰 -twMVC#3
ASP.NET MVC 新增、查詢、修改、刪除 基本功實戰 -twMVC#3
Ext Js开发指导
Ext Js开发指导
twMVC#05 |開發與移轉 ASP.NET MVC 4.0 應用程式到 Windows Azure Platform
twMVC#05 |開發與移轉 ASP.NET MVC 4.0 應用程式到 Windows Azure Platform
使用 ASP.NET MVC 開發SPA網站-微軟實戰課程日
使用 ASP.NET MVC 開發SPA網站-微軟實戰課程日
ASP.NET Core 3.0 新功能
ASP.NET Core 3.0 新功能
Mvc架構說明
Mvc架構說明
Destacado
Clairol -- Does She...Or Doesn't She?
Clairol -- Does She...Or Doesn't She?
Megan
SugarCRM vs Salesforce.com
SugarCRM vs Salesforce.com
Accent Gold Solutions
Coker Tire Community -- Project 2
Coker Tire Community -- Project 2
Megan
Analysis proposal
Analysis proposal
ufontko
Weco 20100820
Weco 20100820
Azrael Cheng
Fazd bovine babesia paper final (2)
Fazd bovine babesia paper final (2)
AgriLife News-Texas AgriLife Extension Service/Texas AgriLife Research
Destacado
(6)
Clairol -- Does She...Or Doesn't She?
Clairol -- Does She...Or Doesn't She?
SugarCRM vs Salesforce.com
SugarCRM vs Salesforce.com
Coker Tire Community -- Project 2
Coker Tire Community -- Project 2
Analysis proposal
Analysis proposal
Weco 20100820
Weco 20100820
Fazd bovine babesia paper final (2)
Fazd bovine babesia paper final (2)
Similar a Telligem 1_xss
Share xss
Share xss
paitoubing
軟體弱點掃描
軟體弱點掃描
Rainmaker Ho
第四节课:web安全2.0
第四节课:web安全2.0
Tommy Chang
浅谈前端安全与规范(渔隐)
浅谈前端安全与规范(渔隐)
tbmallf2e
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
Nicolas su
用戶端攻擊與防禦
用戶端攻擊與防禦
Taien Wang
OWASPTop10ProactiveControls2016-Chinese
OWASPTop10ProactiveControls2016-Chinese
Tony Hsu
从无阻塞并行脚本加载(Lab.js)到浏览器消息模型
从无阻塞并行脚本加载(Lab.js)到浏览器消息模型
Jackson Tian
Web安全分享 -公开版
Web安全分享 -公开版
piao2010
ASP.Net MVC2 简介
ASP.Net MVC2 简介
Allen Lsy
前端MVVM框架安全
前端MVVM框架安全
Borg Han
Non-MVC Web Framework
Non-MVC Web Framework
Fred Chien
JavaScript 物件導向觀念入門 v.s. TypeScript 開發實戰 (微軟實戰課程日)
JavaScript 物件導向觀念入門 v.s. TypeScript 開發實戰 (微軟實戰課程日)
Will Huang
黑站騎士
黑站騎士
openblue
史前的Ssjs——从js的asp到node js
史前的Ssjs——从js的asp到node js
Frank Cheung
从无阻塞并行脚本加载(Lab.js)到浏览器消息模型
从无阻塞并行脚本加载(Lab.js)到浏览器消息模型
裕波 周
从无阻塞并行脚本加载(Lab.js)到浏览器消息模型
从无阻塞并行脚本加载(Lab.js)到浏览器消息模型
裕波 周
Exam 98-375 HTML5 Application Development Fundamentals
Exam 98-375 HTML5 Application Development Fundamentals
Chieh Lin
哈佛公開課程_E-75 建構動態網站 第4講_SQL
哈佛公開課程_E-75 建構動態網站 第4講_SQL
奕孝 陳
前端杂谈
前端杂谈
salinet
Similar a Telligem 1_xss
(20)
Share xss
Share xss
軟體弱點掃描
軟體弱點掃描
第四节课:web安全2.0
第四节课:web安全2.0
浅谈前端安全与规范(渔隐)
浅谈前端安全与规范(渔隐)
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
用戶端攻擊與防禦
用戶端攻擊與防禦
OWASPTop10ProactiveControls2016-Chinese
OWASPTop10ProactiveControls2016-Chinese
从无阻塞并行脚本加载(Lab.js)到浏览器消息模型
从无阻塞并行脚本加载(Lab.js)到浏览器消息模型
Web安全分享 -公开版
Web安全分享 -公开版
ASP.Net MVC2 简介
ASP.Net MVC2 简介
前端MVVM框架安全
前端MVVM框架安全
Non-MVC Web Framework
Non-MVC Web Framework
JavaScript 物件導向觀念入門 v.s. TypeScript 開發實戰 (微軟實戰課程日)
JavaScript 物件導向觀念入門 v.s. TypeScript 開發實戰 (微軟實戰課程日)
黑站騎士
黑站騎士
史前的Ssjs——从js的asp到node js
史前的Ssjs——从js的asp到node js
从无阻塞并行脚本加载(Lab.js)到浏览器消息模型
从无阻塞并行脚本加载(Lab.js)到浏览器消息模型
从无阻塞并行脚本加载(Lab.js)到浏览器消息模型
从无阻塞并行脚本加载(Lab.js)到浏览器消息模型
Exam 98-375 HTML5 Application Development Fundamentals
Exam 98-375 HTML5 Application Development Fundamentals
哈佛公開課程_E-75 建構動態網站 第4講_SQL
哈佛公開課程_E-75 建構動態網站 第4講_SQL
前端杂谈
前端杂谈
Telligem 1_xss
1.
Telligem web 安全开发培训
研发部:徐江涛 Contact@shjuto at gmail.com Work @ Telligem.com Life @ Nanchang
2.
3.
跨站 脚本 漏洞原理及其危害
Cross site scripting 简称 XSS 原理: 利用网站的漏洞向网站的页面注入 JAVASCRIPT 等脚本内容。 根源:程序的输入、输出没有考虑安全因素。
4.
XSS Cheat Sheet
http://ha.ckers.org/xss.html 了解不同浏览器和各种特殊的 HTML 标签如何执行脚本。 XSS 需要使用的关键字 ‘ ‘ ; ! -- “ <XSS> = & { ( ) } 各类伪协议头: Javascript: vbscript: 跨站 脚本 漏洞原理及其危害
5.
CSS 样式表脚本注入
style=xss:expression(eval(String.fromCharCode(105,102,40,119,105,110,100,111,119,46, 120,33,61,34,49,34,41,123,97,108,101,114,116,40,34,120,115,115,34,41,59,119,105,110,100,111,119,46,120,61,34,49,34,59,125))) expression 变形。 跨站 脚本 漏洞原理及其危害
6.
挂马 插入恶意的脚本内容,运行病毒、木马。 钓鱼
篡改网页内容,骗取账号、密码等诈骗行为。 劫持会话 读取会话 COOKIE, 传送给第三方劫持身份。 XSS Worm 使用 AJAX 技术,做几何趋势的增长传播。 跨站 脚本 漏洞的危害
7.
非持久型 XSS 需要从
URL 传参,点击链接触发。 持久型 XSS XSS 内容已存储到数据库,写到固定页面。 DOM XSS JAVASCRIPT 处理数据输出出现漏洞。 浏览器的漏洞造成的 XSS 跨站脚本漏洞分类
8.
表单值容易出现 XSS 搜索框、信息提示、个人资料、友情链接、背景图片等等。
各类表单值、隐藏的表单值都很危险。 实例: es.babydao.com 跨站脚本漏洞及案例
9.
http://tiaozhan.ecjtu.net/search.asp?key=<script>window.onload=function(){document.body.innerHTML=eval(String.fromCharCode(34,60,104,49,32,115,116,121,108,101,61,39,102,111,110,116,45,115,105,122,101,58,49,48,48,112,120,39,62,73,32,97,109,32,72,97,99,107,101,114,32,24464,27743,28059,60,47,104,49,62,34))}</script> 跨站脚本漏洞及案例 搜索
http://es.babydao.com/index.php?app=storelist&cate_id=0&keywords=%22%3E%3Cscript%3Ewindow.onload=function(){document.body.innerHTML=eval(String.fromCharCode(34,60,112,49,32,115,116,121,108,101,61,39,102,111,110,116,45,115,105,122,101,58,49,48,48,112,120,39,62,73,32,97,109,32,72,97,99,107,101,114,32,24464,27743,28059,60,47,112,49,62,34))}%3C/script%3E%3C http://www.nengcha.com/code/unicode/?key=%3Cscript%3Ewindow.onload=function(){document.body.innerHTML=eval(String.fromCharCode(34,60,112,49,32,115,116,121,108,101,61,39,102,111,110,116,45,115,105,122,101,58,49,48,48,112,120,39,62,73,32,97,109,32,72,97,99,107,101,114,32,24464,27743,28059,60,47,112,49,62,34))}%3C/script%3E
10.
跨站脚本漏洞修补建议 使用 htmlspecialchars
打开引号参数 htmlspecialchars ( $xss, ENT_QUOTES ) & ==> & " ==> " ' ==> ' // 需要打开引号参数 < ==> < > ==> >
11.
使用 qsafehtml 安全类
UBB 安全类 富文本安全类 跨站脚本漏洞修补建议
12.
跨站脚本漏洞和 Web 应用紧密相关,同时又涉及到客户端浏览器的安全特性。
Web 安全已经不是单一的程序输出输出问题,必须从服务端、客户端、应用多方面考虑。 跨站脚本漏洞修补建议
13.
Thank you