pkav 课件示例(xss)

《pkav 课件示例(xss)》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、PKAV-EDU《存储型XSS的成因及挖掘方法》BYGainoverXSS系列主要内容Part1XSS介绍Part2XSS详解及防护Part3XSS挖掘及利用Part4总结什么是XSS攻击？个人资料信息填写发表一篇日志发表一篇留言发表一篇评论提出一个问题回答一个问题…..地址栏参数Dom属性攻击者注入恶意代码输入过滤输出过滤输入输出代码缺陷查看他人资料查看一篇日志查看一条留言查看一个评论查看一个问题查看一个答案点开一个链接点开一个邮件……恶意代码执行受害者XSS模型当受害者变为攻击者时，下一轮受害者将更容易被攻击，威力更加

2、明显！XSS攻击可以用来做什么？用户信息管理信息客户端信息突破浏览器的域限制Xss蠕虫攻击DDoS攻击针对浏览器缺陷实施攻击后台地址，管理员帐号信息甚至直接通过Ajax上传Shell私密信息：日志，相片，邮件360,傲游等浏览器的命令执行XSSXSS的种类划分PKAV-EDUXSS攻击的现状反射型XSSXSSFilter扫描器WAF产品但是危害越来越小….但是容易被扫….但是容易被干掉……存储型XSS广泛存在存储型XSS的分类HTML-Context存储型XSS及防御JS-Context存储型XSS及其防御JS-Conte

3、xt存储型XSS及其防御PKAV-EDU.NETCSS-Context存储型XSS及其防御CSS-Context存储型XSS及其防御(部分内容参考html5sec.org)Dom-based存储型XSS及其防御Dom-based存储型XSS及其防御Dom-based存储型XSS及其防御Dom-based存储型XSS及其防御Flash-based存储型XSS及其防御Flash-based存储型XSS及其防御Flash-based存储型XSS及其防御PKAV-EDU.NETFlash-based存储型XSS及其防御Flash-

4、based存储型XSS及其防御腾讯WEBQQ的持久劫持Wooyun-2010-07999存储型XSS的挖掘方法存储型XSS的挖掘方法存储型XSS的利用总结PKAV-EDU多问多想多做THANKS~"alt="Thisistheend!">