读白帽子web安全笔记

点击劫持

  • frame buseting
if (top.location != location) {
    top.location = self.location
}

html5的sandbox属性       和iframe 的security属性   可以使frame busting失效

  • X-Frame-Options    http头

    DENY        拒绝当前页面加载任何frame

    SAMEORIGIN        frame只能加载同源域名页面

    ALLOW-FROM      允许加载所有frame

时间: 2024-10-10 09:22:56

读白帽子web安全笔记的相关文章

读>>>>白帽子讲Web安全<<<<摘要→我推荐的一本书

<白帽子讲Web安全>吴翰清著 刚开始看这本书就被这本书吸引,感觉挺不错,给大家推荐下,最近读这本书,感觉不错的精华就记录下, 俗话说>>>好脑袋不如一个烂笔头<<< 还有,大家也看出来,最近我也要开始写博客了, 万事开头难嘛,先拿来那些nx点的人物的书籍来记录下, 本人文笔确实不怎么滴,思路略混乱,中学时代我的作文就是我们班的一盏亮灯,指引我们全班文笔不要向我的文笔思路靠近 ←```warn```→ 读万卷书,行万里路,以后不做宅男.加油··· 信息不等于

白帽子讲Web安全--读书笔记

在安全圈子里,素有"白帽"."黑帽"一说. 黑帽子是指那些造成破坏的黑客,而白帽子则是研究安全,但不造成破坏的黑客. 白帽子 均以建设更安全的互联网为己任. 不想拿到"root"的黑客,不是好黑客.漏洞利用代码能够帮助黑客们达成这一目标.黑 客们使用的漏洞利用代码,被称为"exploit".在黑客的世界里,有的黑客,精通计算机技术, 能自己挖掘漏洞,并编写 exploit:而有的黑客,则只对攻击本身感兴趣,对计算机原理和各种

《白帽子讲WEB安全》学习笔记之第1章 我的安全世界观

第1章 我的安全世界观 1.1 web安全简史 1.1.1 中国黑客简史 现在中国乃至全世界的黑客或者说是骇客已经进入了"黑暗时代",因为互联网存在这大量的利益. 1.1.2 黑客技术的发展历程 1.1.3 web安全的兴起 web安全是信息安全领域的一个重要的分支,但是中国目前对web安全的重视程度远远不足. 为什么要攻击Web应用,我认为主要有以下几个原因: q  web应用无处不在. q  相比较与操作系统等的安全防御能力,攻破web更容易一些. q  攻击web可以来无影去无踪

白帽子讲Web安全1.pdf

第一章 我的安全世界观 安全是一个持续过程 6种威胁:Spoofing(伪装).Tampering(篡改).Repudiation(抵赖).InformationDisclosure(信息泄漏).Denial of Service(拒绝服务).Elevation of Privilege(提升权限) 一个优秀的安全方案需要: 有效解决问题 用户体验良好 高性能 低耦合 易于升级和扩展 安全策略 Secure by Default原则(最小权限原则):白名单可通过和禁止黑名单,前者限制的范围更大更

【资源】Web安全工程师-网易“白帽子黑客”训练营

一直想要了解Web安全方面的知识,之前买了一本大名鼎鼎的<白帽子讲Web安全>,书虽然写得很好,但是比较适合有些基础的同学.一直在想有没有适合无基础小白的入门教程,终于在网易云课堂上发现了这门课程: Web安全工程师-网易"白帽子黑客"训练营 是由网易信息安全部的几位Web安全工程师制作并授课的,绝对是小白的入门首选. 首先,这门课程循序渐进.从Web基础知识和安全基础开始介绍,案例通俗易懂,即便是新手小白也不用担心,可以很快入门.然后介绍Web常用安全工具,以及手把手搭建

白帽子讲Web安全

在安全圈子里,素有"白帽"."黑帽"一说. 黑帽子是指那些造成破坏的黑客,而白帽子则是研究安全,但不造成破坏的黑客. 白帽子 均以建设更安全的互联网为己任. 不想拿到"root"的黑客,不是好黑客.漏洞利用代码能够帮助黑客们达成这一目标.黑 客们使用的漏洞利用代码,被称为"exploit".在黑客的世界里,有的黑客,精通计算机技术, 能自己挖掘漏洞,并编写 exploit:而有的黑客,则只对攻击本身感兴趣,对计算机原理和各种

《白帽子讲Web安全》——第一篇 第一章 我的安全世界观

前些日子定的书单,下放给各淘宝卖家,今天来的第一本就是这本,是一个我完全陌生的领域,然而强烈的好奇心,催使我看完了第一章,其实就是个概述. 1.1 Web安全简史 exploit:黑客们使用的漏洞利用代码. Script Kids:只对攻击本身感兴趣,没有动手能力,对计算机原理和各种编程技术略知一二,因而只能编译别人的代码的黑客,即“脚本小子”. 1. Web安全的兴起 (1)SQL注入 (2)XSS (3)CSRF http://blog.csdn.net/dyllove98/article/

白帽子讲Web安全2.pdf

XSS构造技巧 利用字符编码: var redirectUrl="\";alert(/XSS/);"; 本身没有XSS漏洞,但由于返回页面是GBK/GB2312编码的“%c1\”成为了一个Unicode字符,忽略掉转义字符\ %c1";alert(/XSS/);// 绕过长度限制: 很多时候产生XSS的地方会有变量长度限制,将代码藏在location.hash中,然后在其他地方调用即可 http://www.a.com/test.html#alert(1) <

白帽子讲安全学习笔记(一):世界观安全

第一篇 世界观安全 第1章 我的安全世界观 安全三要素:机密性.完整性和可用性 1. 资产等级划分: 2. 威胁分析: 3. 风险分析: 4. 确认解决方案: 威胁分析: 风险分析-DREAD模型: 白帽子兵法: 1. security by default 黑名单.白名单原则: 最小权限原则: 2. 纵深防御原则 不同方面.不同层面的防御方案: 正确的地方做正确的事情: 3. 数据与代码分离 4. 不可预测性原则 让攻击者不能有效的执行攻击 第二篇 客户端脚本安全 第2章 浏览器安全 第3章