Web工作原理和常見漏洞分析和防御-release-v2.pdf

Web工作原理和常見漏洞分析和防御-release-v2.pdf

ID:52453655

大?。?.39 MB

頁數(shù):52頁

時(shí)間:2020-03-27

Web工作原理和常見漏洞分析和防御-release-v2.pdf_第1頁
Web工作原理和常見漏洞分析和防御-release-v2.pdf_第2頁
Web工作原理和常見漏洞分析和防御-release-v2.pdf_第3頁
Web工作原理和常見漏洞分析和防御-release-v2.pdf_第4頁
Web工作原理和常見漏洞分析和防御-release-v2.pdf_第5頁
資源描述:

《Web工作原理和常見漏洞分析和防御-release-v2.pdf》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、密級(jí):B2Web工作原理和常見漏洞分析和防御常濤(夜鶯)集團(tuán)技術(shù)保障-安全技術(shù)嘉賓情況我的自白書●2011年7月進(jìn)入淘寶●集團(tuán)技術(shù)保障——安全技術(shù)●陜北——榆林●信息安全安全技能系列●客戶端安全防御技術(shù)與漏洞Fuzz技術(shù)●病毒、木馬原理與應(yīng)急修復(fù)●Rootkit簡介(Windows平臺(tái))●外掛藝術(shù)揭秘●Windows漏洞分析調(diào)試技術(shù)●深入淺出數(shù)據(jù)安全●網(wǎng)絡(luò)攻擊防御●Web工作原理和常見漏洞分析和防御●安全對(duì)抗方法論內(nèi)容==需求?預(yù)期效果●了解Web系統(tǒng)工作原理●XSS,CSRF,URL跳轉(zhuǎn)漏洞的成因和防護(hù)●淘寶安全編碼來個(gè)

2、漏洞熱熱身漏洞查找滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)內(nèi)容模塊Web系統(tǒng)工作原理從輸入淘寶網(wǎng)站到登錄成功?●http://i.taobao.com/●獲得IP地址●獲得應(yīng)用地址●登錄成功工欲善其事,必先利其器瀏覽器與服務(wù)器的關(guān)系巴基斯坦卡巴斯基Web常見漏洞內(nèi)容模塊XSSGodFathterattackXSS概述1.注入型問題2.利用終端客戶對(duì)服務(wù)商的信任3.危害程度取決于終端客戶使用的瀏覽器4.影響范圍取決于服務(wù)商的活躍客戶數(shù)量XSS危害==Javascript能力●Javascript是瀏覽器的親信●Javascript代碼與html代碼

3、沒有本質(zhì)區(qū)別●Javascript被大量應(yīng)用與Web系統(tǒng)XSS分類:反射型XSS分類:存儲(chǔ)型XSS分類:DOM型三類XSS對(duì)比DOM型反射型XSS存儲(chǔ)型XSSXSS攻擊者在網(wǎng)站上發(fā)布攻擊者向受害者發(fā)送攻擊者向受害者發(fā)送有害的代碼有害URL有害URL(html,xss)服務(wù)器原樣返回有害客戶端從服務(wù)端取得服務(wù)端返回出發(fā)js的有害代碼的代碼URL本地瀏覽器執(zhí)行有攻本地瀏覽器執(zhí)行有攻本地瀏覽器執(zhí)行有攻擊代碼擊代碼擊代碼手動(dòng)觸發(fā)自動(dòng)觸發(fā)腳本自動(dòng)觸發(fā)挖掘XSS==創(chuàng)造JS環(huán)境●標(biāo)簽屬性●URI編碼方案●編碼標(biāo)簽屬性==創(chuàng)造JS環(huán)境●

4、1●clickme!●URI編碼方案==創(chuàng)造JS環(huán)境●2編碼==創(chuàng)造JS環(huán)境●

5、ml;base64,PHNjcmlwdDhbGV5ydCgndGVzdDMnKTwvc2NyaXB0Pg”>防御XSS==破壞JS環(huán)境●●控制顯示位置●過濾顯示內(nèi)容防御XSS==TaobaoSecuritySecurityutil淘寶的主要安全包防御XSS==TaobaoSecurityUserichtextinvelocity雙擊展開在頁面上需要輸出富文本的地方(輸出的內(nèi)容包含html的tag,比如$var中含有)在vm文件中使用richtext對(duì)該變量進(jìn)行申

6、明,如:$!securityutil.richtext(var)$防御XSS==TaobaoSecurityUsejsEncodeinvelocity在頁面上需要輸出到j(luò)avascrpt環(huán)境的變量的時(shí)候,需要用jsEncode對(duì)該變量進(jìn)行聲明,并且使用雙引號(hào)將其括起來,如:(錯(cuò)誤用法示例)應(yīng)該使用如下的方式進(jìn)行正確的聲明:

7、aobao.com/logo.png"onClick=$var/>(錯(cuò)誤用法示例)應(yīng)該使用如下方式進(jìn)行聲明:防御XSS==TaobaoSecurityUseescapeHtmlinvelocity在頁面上需要在宏中輸出的時(shí)候需要顯式的用escapeHtml進(jìn)行聲明,如:(宏中輸出變量的時(shí)候默認(rèn)不做escape處理)#macro(null2HtmlSpace$tex

8、t)#if($text!="")$!securityUtil.escapeHtml($text)#else #end#end防御XSS==TaobaoSecurityUseignoretextinvelocity某些特殊情況下需要原文輸出,用ignoretext進(jìn)行聲明,比如:(不做任何處理,

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無此問題,請(qǐng)放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請(qǐng)聯(lián)系客服處理。