xss實戰
Post on 21-Jul-2015
114 Views
Preview:
TRANSCRIPT
XSS攻擊
講者簡介⼤大同⼤大學.資⼯工3年⽣生
TDOHacker.幹部
先來點前置技能
JavaScript
Javascript跟Java的關係就像熱狗跟狗⼀一樣
先來點前置技能
JavaScript
Javascript跟Java的關係就像熱狗跟狗⼀一樣
沒有關係
Javascript基礎
alert
console.log
Live Demo 因為沒有環境
所以就算了(被毆打)
再來點前置技能
Cookie
Cookie
Cookie是⽤用來驗證網⾴頁上的使⽤用者
PHPSESSION
ASPSESSION
JSESSION
Cookie - 實例
噓~知道的不要講
回歸正題
XSS
全名:Cross-Site Scripting(跨站指令碼攻擊)
危害:中等(VulReport評等)
作⽤用:可竄改網⾴頁內容、︑進⾏行網⾴頁操作、︑偷取Cookie
常⾒見區域:網⾴頁留⾔言板、︑登入畫⾯面等
Live Demo 因為沒有環境
所以就算了(被毆打)
XSS 進階⼿手法
String.formCharCode()、︑eval()
img、︑body、︑svg
SELF XSS
Live Demo 因為沒有環境
所以就算了(被毆打)
如何防範XSS︖?
盡量避免讓使⽤用者輸入的資料顯⽰示在畫⾯面上
在必要的輸出時,⼀一定要進⾏行過濾
htmlentities()
以IPS防禦時應注意規則
top related