Web工作原理及常见漏洞分析及防御-release-v2.pdf

密级:B2 Web 工作原理和常见漏洞分析和防御 常涛(夜莺 ) 集团技术保障-安全技术 嘉宾情况 我的自白书 ● 2011年7 月进入淘宝 ● 集团技术保障—— 安全技术 ● 陕北——榆林 ● 信息安全 安全技能系列 ● 客户端安全防御技术与漏洞Fuzz 技术 ● 病毒、木马原理与应急修复 ● Rootkit 简介（Windows 平台） ● 外挂艺术揭秘 ● Windows 漏洞分析调试技术 ● 深入浅出数据安全 ● 网络攻击防御 ● Web工作原理和常见漏洞分析和 防御 ● 安全对抗方法论 内容== 需求? 预期效果 ● 了解Web 系统工 作原理 ● XSS,CSRF,URL 跳转漏洞的成因 和防护 ● 淘宝安全编码 来个漏洞热热身 漏洞查找 渗透测试执行标准 内容模块 Web 系统工作原理 从输入淘宝网站到登录成功? ● / ● 获得 IP 地址 ● 获得应用地址 ● 登录成功 工欲善其事，必先利其器 浏览器与服务器的关系 巴基斯坦 卡巴斯基 Web 常见漏洞 内容模块 XSS GodFathter attack XSS 概述 1.注入型问题 2.利用终端客户对服务 商的信任 3.危害程度取决于终端 客户使用的浏览器 4.影响范围取决于服务 商的活跃客户数量 XSS 危害 ==Javascript 能力 ● Javascript 是浏览 器的亲信 ● Javascript 代码与 html 代码没有本质 区别 ● Javascript 被大量 应用与Web 系统 XSS 分类：反射型 XSS 分类：存储型 XSS 分类：DOM型 三类XSS 对比 DOM 型 反射型XSS 存储型XSS XSS 攻击者在网站上发布 攻击者向受害者发送 攻击者向受害者发送 有害的代码 有害 URL 有害 URL (html,xss) 服务器原样返回有害 客户端从服务端取得 服务端返回出发js 的 有害代码 的代码 URL 本地浏览器执行有攻 本地浏览器执行有攻 本地浏览器执行有攻 击代码 击代码 击代码 手动触发 自动触发 脚本自动触发 挖掘XSS== 创造JS 环境 ● 标签属性 ● URI 编码方案 ● 编码 标签属性== 创造J