读书分享会---白帽子讲Web安全.pptxVIP

读书分享会;白帽子讲web安全》;全书布局;客户端脚本安全;客户端脚本安全;假设要删除 id=156714243 的博客文章，攻击者先在他的域中构造一个页面 /csrf.html，内容为： img src=/manage/entry.do?m=deleteid=156714243 / 然后诱导博客主访问这个页面，就能够删除该博客。 因为删除这篇博客的请求是攻击者伪造的，因此叫做“跨站点请求伪造”。 ;实质：?攻击者盗用了你的身份，以你的名义发送恶意请求 防御： 1. 验证码 2. 检查 HTTP Referer 字段 3. 使用 Anti CSRF Token;客户端脚本安全;服务器端应用安全;;?;;Secure By Default原则 纵深防御原则 数据与代码分离原则 不可预测性原则;10.阅读本书后的启发;10.阅读本书后的启发;10.阅读本书后的启发;谢谢;附录;1.1 同源策略;1.2 浏览器沙箱;1.3 恶意网址拦截;1.3 恶意网址拦截;2.1 XSS简介;2.2 XSS分类;2.2 XSS分类;2.2 XSS分类;2.2 XSS分类;2.2 XSS分类;2.2 XSS分类;2.3 XSS Payload;2.4 强大的XSS Payload;2.4 强大的XSS Payload;2.5 终极武器 XSS Worm;2.6 XSS的防御;3.1 一个简单的CS