原创力文档- 0
- 0
- 约8.51千字
- 约 66页
- 2017-08-06 发布于湖北
- 举报
确认输出 一些经常造成问题的编码如下: “ quot; ‘ apos; amp; lt; gt; 消除危险的插入点 img src=“usercontrol” input name=“usercontrol” type=“” div id=“usercontrol” value=“usercontrol” Usercontrol=用户可以控制的数据 QA ? Click to edit company slogan . * 防:noscript, ie8 xss filter, ff csp, anti-xss lib, owasp的xss防御方案, google的浏览器安全手册… 攻:bypass,bypass… * 05年的samy xss worm感染上百万myspace用户 蠕虫式的DDOS、挂马攻击、刷广告、刷流量、破坏网上数据 与pc机上的病毒有很多相似性 * * XSS Exploit保护 1 XSS点可以出现在很多位置 html/xml元素、元素属性、CSS内 flash, applet, wmf, pdf, word online等 导致XSS的原因很多 代码逻辑问题导致的XSS html内嵌的媒体元素导致的XSS 浏览器特性、解析差异、bugs导致的XSS 前后台、浏览器编码处理不一致导致的
文档评论(0)