Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
大话前端黑客 kaiye@ecd
Slide 2
Slide 2 text
1 Question 2 Books 3 Security
Slide 3
Slide 3 text
1 Question 2 Books 3 Security
Slide 4
Slide 4 text
No content
Slide 5
Slide 5 text
灰鸽子的世界
Slide 6
Slide 6 text
窃取cookie演示
Slide 7
Slide 7 text
白帽 黑帽 Cracker Hacker 黑哥 窥私 幽灵 余弦 大神 广告 出售
Slide 8
Slide 8 text
白帽 黑帽 Cracker Hacker 黑哥 窥私 幽灵 余弦 大神 广告 出售 V
Slide 9
Slide 9 text
《白帽子讲Web安全》
Slide 10
Slide 10 text
[Attack Category]
Slide 11
Slide 11 text
3 Security Reports about www.paipai.com
Slide 12
Slide 12 text
No content
Slide 13
Slide 13 text
All Input is Evil 什么是 反射型XSS?
Slide 14
Slide 14 text
XSS跨站脚本攻击 反射型XSS / 非持久型 存储型XSS / 持久型 DOM-base XSS
Slide 15
Slide 15 text
反射型XSS攻击路径 发现漏洞 构造URL
Slide 16
Slide 16 text
反射型XSS攻击路径 发现漏洞 构造URL
Slide 17
Slide 17 text
反射型XSS攻击路径 发现漏洞 构造URL 服务器解 析响应
Slide 18
Slide 18 text
反射型XSS攻击路径 网页执行 恶意脚本 发现漏洞 构造URL 服务器解 析响应
Slide 19
Slide 19 text
存储型XSS攻击路径 黑客提交 XSS代码
Slide 20
Slide 20 text
目标用户 访问网页 存储型XSS攻击路径 黑客提交 XSS代码
Slide 21
Slide 21 text
网页执行 恶意脚本 目标用户 访问网页 存储型XSS攻击路径 黑客提交 XSS代码
Slide 22
Slide 22 text
网页执行 恶意脚本 目标用户 访问网页 存储型XSS攻击路径 黑客提交 XSS代码
Slide 23
Slide 23 text
DOM XSS常见输入输出点
Slide 24
Slide 24 text
location referrer window.name cookie DOM XSS常见输入输出点
Slide 25
Slide 25 text
location referrer window.name cookie eval() document.write() innerHTML location.href DOM XSS常见输入输出点
Slide 26
Slide 26 text
No content
Slide 27
Slide 27 text
All Input is Evil
Slide 28
Slide 28 text
如何防御XSS?
Slide 29
Slide 29 text
X-XSS-Protection: 1 X-Frame-Options / X-CSP HttpOnly Cookie Filter/En&Decode (OWASP)
Slide 30
Slide 30 text
还有哪些常见的 前端攻击手段?
Slide 31
Slide 31 text
CSRF
Slide 32
Slide 32 text
携带用户cookie发送跨站伪造请求 HTML CSRF / JSON HiJacking / Flash CSRF 如访问以下DEMO将发送清除拍拍浏览记录
使用校验码、token防御
Slide 33
Slide 33 text
界面操作劫持 Clickjacking/Drag&Dropjacking/Tapjacking
Slide 34
Slide 34 text
低技术、强社工、高成功率 Frame Busting / X-Frame-Options:SAMEORIGIN DEMO: http://yekai.net/demo/clickjacking.html
Slide 35
Slide 35 text
漏洞之三 事件描述如下: 外部报告list1.paipai.com站点存在路径 泄漏,请BU及时处理。泄露信息: 修复建议:删除上述内容。
Slide 36
Slide 36 text
抓好安全生产 促进经济发展
Slide 37
Slide 37 text
鸣谢 • 中国黑客传说 • HTML5安全参考 • http://www.80vul.com/webzine • http://blog.knownsec.com/2013/03/全球黑 客在关注什么之exploit-db-web篇/ • http://www.wooyun.org/
Slide 38
Slide 38 text
脑暴:怎样破解WIFI
Slide 39
Slide 39 text
回顾 • XSS 跨站脚本 - 反射型XSS - 存储型XSS - DOM-base XSS • CSRF 跨站请求伪造 • Clickjacking 界面操作劫持
Slide 40
Slide 40 text
Thank You