论坛风格切换
您好,欢迎光临本站!   登录 注册新用户
发帖 回复
  • 24162阅读
  • 59回复

[本月活动]试读《XSS跨站脚本攻击剖析与防御》赢图书(参与均送黑豆) [复制链接]

 上一主题 下一主题
阿峰
菜鸟(发帖需审核,请升级)

发帖
12
黑豆
15
威望
12
贡献值
0
交易币
0
红豆
0
只看该作者 20 发表于: 2013-10-21
试读《XSS跨站脚本攻击剖析与防御》心得和体会:

其实现在很多人都认为,XSS跨站只是弹个窗,严重点就是盗取用户的cookie,不像是SQL注入那样那么直接读取数据库,所以很多人都不太重视,觉得对网站没有太大的危害,就忽略了此漏洞。
如果能构造出Shellcode,XSS还是能干很多事情的,比如:xss蠕虫、Cookie资料窃取、会话劫持、钓鱼欺骗等等各种攻击。
这本书详细介绍了什么是XSS,以及XSS可以用来干什么,从xss菜鸟进阶到XSS高手,而且详细说明了哪些地方可能出现XSS,从XSS的挖掘-——到xss的利用——再到xss的修复。
只想早点拿到这本书,成为XSS的高手
再说点,其实我们更应该关注,xss的利用,让XSS不仅仅是弹窗!
1条评分黑豆+1
buffoon 黑豆 +1 有效回复。 2013-11-11
回复
举报
Rocketer
贵宾
发帖
257
黑豆
449
威望
308
贡献值
0
交易币
0
红豆
0
只看该作者 21 发表于: 2013-10-21
这本书应该是国内第一本专注于XSS方面的书籍。试读中发现,内容跳跃太快了。原来试读的章节是摘取的部分章节。
书的内容还是不错,主要讲解了XSS的由来,XSS漏洞的危害,利用XSS来获取用户Cookie及相关信息的内容,可以使我们更容易的理解蠕虫,钓鱼攻击的原理及实现方法。后又介绍了Flash XSS,现在网页游戏,网页Flash相当流行火爆,也需要安全认识对Flash XSS加以重视。希望有机会续读后面的内容。 谢谢!
1条评分黑豆+1
buffoon 黑豆 +1 有效回复。 2013-11-11
回复
举报
HK57
中级菜鸟
发帖
34
黑豆
101
威望
93
贡献值
0
交易币
0
红豆
0
只看该作者 22 发表于: 2013-10-23
我怎么有点看不懂啊
回复
举报
T_conner
中级菜鸟
发帖
16
黑豆
0
威望
5
贡献值
0
交易币
0
红豆
0
只看该作者 23 发表于: 2013-10-23
想要书啊     看完前面2章,学会了一个单词phishing,开始以为是fishing。  
对那个html注入式钓鱼,嵌入一个表单,如果网站上有SSO就很少被骗了吧。
书中执行js代码都是通过截取字符串的,是不是怕别人禁止这些关键字啊
直接给我本  让我好好看吧    <b> </b>
1条评分黑豆+1
buffoon 黑豆 +1 有效回复。 2013-11-11
回复
举报
T_conner
中级菜鸟
发帖
16
黑豆
0
威望
5
贡献值
0
交易币
0
红豆
0
只看该作者 24 发表于: 2013-10-23
我就写了个[ s:11]。不知道这个图是什么意思啊,也不知道为什么隐藏了 [url=#]abc[/url]
aaabbbccccc发现一个bug,如果你把左边的abc都变成黑体,然后你在界面就不能单独取消b的黑体
回复
举报
hendersonr
中级菜鸟

发帖
205
黑豆
1698
威望
23
贡献值
0
交易币
0
红豆
5
只看该作者 25 发表于: 2013-10-24
大概看了一下,内容讲的挺不错的
初学者只看懂了一部分内容
但是感觉到了XSS跨站攻击技术,看似普通,危害却很大

所以掌握好的防御技术也是十分必要的
1条评分黑豆+1
buffoon 黑豆 +1 有效回复。 2013-11-11
回复
举报
诚征版主
论坛版主
发帖
13
黑豆
147
威望
11
贡献值
0
交易币
0
红豆
0
只看该作者 26 发表于: 2013-10-24
xss平台邀请码各种求。。。。拿各种变形轮着插
回复
举报
HK57
中级菜鸟
发帖
34
黑豆
101
威望
93
贡献值
0
交易币
0
红豆
0
只看该作者 27 发表于: 2013-10-25
好东西啊
回复
举报
羽度非凡
贵宾

发帖
117
黑豆
752
威望
132
贡献值
0
交易币
0
红豆
0
只看该作者 28 发表于: 2013-10-25
感觉这本书和市面上安全类的书籍相比,不像其他书籍那样笼统,这本书比较专注地介绍了XSS这门技术,而且内容语言通俗易懂,很适合零基础的新手从入门学习。
回复
举报
海天
总版主

发帖
16250
黑豆
-2
威望
45224
贡献值
2
交易币
0
红豆
0
只看该作者 29 发表于: 2013-10-25
首先感谢出版社和论坛这次举办的活动下面说说我一些感想:
可以说,未来的互联网在很大程度上将由HTML+JavaScript+CSS构成,而安全是互联网发展的基础,互联网安全将在很大程度上取决于Web前端安全,如果前端失陷,我们的个人隐私、在线支付信息等都将受到莫大的挑战。
本书非常系统地讲解了Web相关的安全问题,图文并茂,理论和实战面面俱到,而且非常难得的是,书中有很多意想不到的“黑客”思路,这些思路非常具有实战性和前瞻性。
如果你是开发人员,保护客户的隐私是第一天职,那么看看这本书吧,它能教你如何编写安全的应用。
如果你是普通网民,要保障自己的安全,需要看看我们都面临什么挑战,那么看看这本书吧,它能让你明白平常应该注意什么。
如果你是善意的黑客,想换换思路,看看这本书吧,它能给你意想不到的视角和思路。

对于MHTML协议的安全 很多网民习惯在私人电脑上对邮箱、微博等常用帐号“记住密码”,相当于把这些帐号的“通行证”保存在了Cookie文件中,下次再访问就可以直接登录。
而微软Windows系统最新的MHTML 0day漏洞会导致网民电脑中的Cookie文件被黑客窃取,造成电子邮件泄露、微博帐号被黑客冒用等后果。
该漏洞影响各个Windows系统中的IE浏览器,涉及全球高达9亿IE浏览器用户。目前,Google等不少全球知名网站均存在可触发MHTML漏洞的缺陷,因而该漏洞的影响范围相当广泛。


最近几年来,越来越多的人投入到对XSS技术的研究,基于XSS的漏洞利用技术层出不穷,危害也越来越严重,特别是Web 2.0出现以后,运用了Ajax技术的XSS攻击威胁颇大!比如,世界上的第一个跨站脚本蠕虫(XSS Worm)Samy,于2005年10月出现在国外知名网络社区MySpace,并在20小时内迅速传染了一百多万个用户,最终导致该网站瘫痪。不久后,国内一些著名的SNS应用网站,如校内网、百度空间也纷纷出现了XSS蠕虫。
另外,许多基于XSS的攻击框架和利用平台也大量涌现,如国外著名的BeEF、XSS Shell、attackAPI;国内的Anehta等,这些迹象无疑标志着XSS的春天已经到来!
如今,只要一个站点存在跨站脚本漏洞,该站点的所有用户都可能受到危害。黑客一旦挖掘到XSS漏洞,就可以利用该漏洞实施会话劫持、资料窃取、渗透入侵和传播蠕虫病毒等一系列攻击。
令人遗憾的是,尽管大家逐渐了解到XSS潜在的威胁,但是每天依然能在各种漏洞报告平台看见许多XSS漏洞的公告……

所以对于xss防御是非常重要的


再次感谢出版社和论坛
1条评分黑豆+1
buffoon 黑豆 +1 有效回复。 2013-11-11
回复
举报
发帖 回复
快速回复
限100 字节
 
上一个 下一个