- 1、本文档共52页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
密级:B2
Web 工作原理和常见漏洞分析和防御
常涛(夜莺 )
集团技术保障-安全技术
嘉宾情况
我的自白书
● 2011年7 月进入淘宝
● 集团技术保障——
安全技术
● 陕北——榆林
● 信息安全
安全技能系列
● 客户端安全防御技术与漏洞Fuzz
技术
● 病毒、木马原理与应急修复
● Rootkit 简介(Windows 平台)
● 外挂艺术揭秘
● Windows 漏洞分析调试技术
● 深入浅出数据安全
● 网络攻击防御
● Web工作原理和常见漏洞分析和
防御
● 安全对抗方法论
内容== 需求? 预期效果
● 了解Web 系统工
作原理
● XSS,CSRF,URL
跳转漏洞的成因
和防护
● 淘宝安全编码
来个漏洞热热身
漏洞查找
渗透测试执行标准
内容模块
Web 系统工作原理
从输入淘宝网站到登录成功?
● /
● 获得 IP 地址
● 获得应用地址
● 登录成功
工欲善其事,必先利其器
浏览器与服务器的关系
巴基斯坦
卡巴斯基
Web 常见漏洞
内容模块
XSS
GodFathter
attack
XSS 概述
1.注入型问题
2.利用终端客户对服务
商的信任
3.危害程度取决于终端
客户使用的浏览器
4.影响范围取决于服务
商的活跃客户数量
XSS 危害 ==Javascript 能力
● Javascript 是浏览
器的亲信
● Javascript 代码与
html 代码没有本质
区别
● Javascript 被大量
应用与Web 系统
XSS 分类:反射型
XSS 分类:存储型
XSS 分类:DOM型
三类XSS 对比
DOM 型
反射型XSS 存储型XSS
XSS
攻击者在网站上发布
攻击者向受害者发送 攻击者向受害者发送
有害的代码
有害 URL 有害 URL
(html,xss)
服务器原样返回有害 客户端从服务端取得 服务端返回出发js
的 有害代码 的代码
URL
本地浏览器执行有攻 本地浏览器执行有攻 本地浏览器执行有攻
击代码 击代码 击代码
手动触发 自动触发 脚本自动触发
挖掘XSS== 创造JS 环境
● 标签属性
● URI 编码方案
● 编码
标签属性== 创造J
您可能关注的文档
- 自动化电子商务平台运行流程与推广步骤.pdf
- 第九章 闭回路调整法.ppt
- 主流四核手机CPU性能大比拼要领.doc
- 第十一章 标准工艺 学习课件.ppt
- 第十三章 优质小麦品种识别.ppt
- 工程力学第5讲 摩擦.pdf
- Unix下EST数据库本地化更新与序列预处理分析.pdf
- 大数据助力搜索营销精准化的理论和实践-韩芳芳.pdf
- 第四章 风机维护保养.pdf
- 种群的特征与数量变化复习.ppt
- 2024年03月浙江省义乌市住房和城乡建设局下属事业单位2024年招考9名工作人员笔试参考题库附带答案详解.docx
- 2024年3月安徽淮北市公安机关招考聘用辅警145人笔试参考题库附带答案详解.docx
- 2024年3月福建福州市马尾区住房和城乡建设局招考聘用笔试参考题库附带答案详解.docx
- 2024年3月黑龙江哈尔滨市公安局招考聘用辅警500人笔试参考题库附带答案详解.docx
- 2024年4月北京市交通委员会所属8家事业单位招考聘用笔试参考题库附带答案详解.docx
- 2024年3月湖南长沙市长沙县卫生健康局所属事业单位招考聘用83人笔试参考题库附带答案详解.docx
- 2024年3月北京市药品监督管理局所属事业单位招考聘用笔试参考题库附带答案详解.docx
- 2024年4月云南玉溪市妇幼保健院招考聘用编外人员4人笔试参考题库附带答案详解.docx
- 2024年3月北京市经济信息中心招考聘用笔试参考题库附带答案详解.docx
- 2024年3月北京市科学技术协会创新服务中心招考聘用笔试参考题库附带答案详解.docx
文档评论(0)