黑客攻防技术宝典(十二)
第12章 攻击其他用户
- 12.1 XSS的分类
- 12.1.1 反射型XSS
- 12.1.2 存储型XSS
- 12.1.3 基于DOM的XSS
- 12.2 进行中的XSS攻击
- 12.2.1 真实XSS攻击
- 12.2.2 XSS攻击有效载荷
- 12.2.3 XSS攻击的传输机制
- 12.3 查找并利用XSS漏洞
- 12.3.1 查找并利用反射型XSS漏洞
- 12.3.2 查找并利用保存型XSS漏洞
- 12.3.4 查找并利用基于DOM的XSS漏洞
- 12.4 防止XSS攻击
- 12.4.1 防止反射型与保存型XSS漏洞
- 12.4.2 防止基于DOM的XSS漏洞
- 12.5 小结
- 12.6 问题
12.1 XSS的分类
12.1.1 反射型XSS
使用一个包含消息文本的参数,并在响应中将这个文本返回给用户
12.1.2 存储型XSS
用户提交的数据被保存在应用程序中,然后不经适当过滤或净化就显示给其他用户
12.1.3 基于DOM的XSS
客户端JavaScript通过浏览器的文本对象模型(DOM)从URL中提取数据,并对这些数据进行处理,然后动态更新页面,就可能易于受到基于DOM的XSS攻击。
12.2 进行中的XSS攻击
12.2.1 真实XSS攻击
- Samy蠕虫
12.2.2 XSS攻击有效载荷
- 虚拟置换
- 注入木马
- 诱使用户执行操作
- 利用信任关系
- 扩大客户端攻击范围
12.2.3 XSS攻击的传输机制
- 基于反射型与基于DOM的XSS攻击
- 传送保存型XSS攻击
- 链接XSS与其它攻击
12.3 查找并利用XSS漏洞
12.3.1 查找并利用反射型XSS漏洞
- 确认用户输入的反射
- 测试引入脚本的反射
- 探查防御性过滤
- 避开基于签名的过滤
- 避开净化
- 突破长度限制
- 实施有效的XSS攻击
12.3.2 查找并利用保存型XSS漏洞
- 在电子邮件应用程序中测试XSS
- 在上传文件中测试XSS
12.3.4 查找并利用基于DOM的XSS漏洞
12.4 防止XSS攻击
12.4.1 防止反射型与保存型XSS漏洞
- 确认输入
- 确认输出
- 消除危险的插入点
- 允许有限的HTML
12.4.2 防止基于DOM的XSS漏洞
- 确认输入
- 确认输出
12.5 小结
12.6 问题
黑客攻防技术宝典(十二)相关推荐
- 黑客攻防技术宝典(二十)
Web应用程序黑客工具包 20.1 Web浏览器 20.2 集成测试套件 20.2.1 工作原理 20.2.2 测试工作流程 20.2.3 拦截代理服务器替代工具 20.3 独立漏洞扫描器 20.3. ...
- 黑客攻防技术宝典(二十一)
第21章 Web应用程序渗透测试方法论 21.1 解析应用程序内容 21.1.1 搜索可见的内容 21.1.2 浏览公共资源 21.1.3 发现隐藏的内容 21.1.4 查找默认内容 21.1.5 枚 ...
- 黑客攻防技术宝典(二)
第二章 核心防御机制 2.1 处理用户访问 2.1.1 身份验证 2.1.2 会话管理 2.1.3 访问控制 2.2 处理用户输入 2.2.1 输入的多样性 2.2.2 输入处理方法 2.2.3 边界 ...
- 《黑客攻防技术宝典Web实战篇@第2版》读书笔记1:了解Web应用程序
读书笔记第一部分对应原书的第一章,主要介绍了Web应用程序的发展,功能,安全状况. Web应用程序的发展历程 早期的万维网仅由Web站点构成,只是包含静态文档的信息库,随后人们发明了Web浏览器用来检 ...
- 热评一箩筐——《黑客攻防技术宝典》
< 黑客攻防技术宝典: Web实战篇 > 自 8 月初上市,将近两个月共计销售 2500 多册(在今年金融危机这个大环境下,能有这样的销量还是相当不错的). 下面是我们收集的读者对这本书的 ...
- 跟安全技术大师学习黑客攻防技术 ——《黑客攻防技术宝典:web实战篇》
跟安全技术大师学习黑客攻防技术 --<黑客攻防技术宝典: web 实战篇> 随着网络技术的快速发展以及网络带宽的不断扩张, Web 应用程序几乎无处不在,渗透到社会的经济.文化.娱乐等各个 ...
- 《黑客攻防技术宝典:Web实战篇》习题答案(一)
译者按:以下为<黑客攻防技术宝典:Web实战篇>一书第二版中的习题答案,特在此推出.如果读者发现任何问题,请与本人联系.英文答案请见:The Web Application Hacker' ...
- 《黑客攻防技术宝典Web实战篇》.Dafydd.Stuttard.第2版中文高清版pdf
下载地址:网盘下载 内容简介 编辑 <黑客攻防技术宝典(Web实战篇第2版)>从介绍当前Web应用程序安全概况开始,重点讨论渗透测试时使用的详细步骤和技巧,最后总结书中涵盖的主题.每章后还 ...
- 黑客攻防技术宝典web实战篇:核心防御机制习题
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 黑客攻防技术宝典web实战篇是一本非常不错的书,它的著作人之一是burpsuite的作者,课后的习题值得关注 ...
- 全面分析Web应用程序安全漏洞——《黑客攻防技术宝典:web实战篇》
媒体评论 "想成为 Web 安全高手吗?读这本书吧,你一定不会失望!" --Amazon.com "没有空洞的理论和概念,也没有深奥的行话,除了实战经验,还是实战经验-- ...
最新文章
- 一、核心C#(第二部分)
- JQuery-学习笔记07【高级——JQuery高级案例】
- 5.中文问题(自身,操作系统级别,应用软件的本身),mysql数据库备份
- python 非线性规划_自动驾驶运动规划-Hybird A*算法(续)
- 三年级学生计算机学情分析,三年级上学期学生学情分析
- LNK快捷方式漏洞利用方式 exp制作教程
- 如何增加Android模拟器的可用空间
- 古人说的雅事,通常是做什么?
- Windows10的pin码有几位
- 曼哈顿距离,欧式距离,明式距离,切比雪夫距离区别
- 网络编程之:IP的ULONG方式字符串方式的相互转化
- word表格跨页显示时缺少上框线
- npm node升级到最新版本
- 查看linux 内核参数
- 负数在计算机中是如何表示的
- android 绘画笔迹回放_Android画板 半透明画笔 笔迹叠加效果
- 波浪过程下载Loading动画
- 精读《Spring 概念》
- 利用神经网络识别窃电用户
- 大众点评网的网站架构