白帽子讲安全学习笔记(二):客户端脚本安全

第二篇 客户端脚本安全

第2章 浏览器安全

1. 同源策略:域划分

2. 浏览器沙箱:让不可信任的代码运行在沙箱中,以进行隔离;

3. 恶意网址拦截:公共组织提供黑名单;EV数字证书认证安全的网站;

4. 高速发展的浏览器安全

浏览器设置xss攻击原则,遵循的安全策略,但是浏览器为了用户的人性化使用,设置的匹配规则往往会被黑客利用;

第3章 跨站脚本攻击(XSS)

1. XSS简介

XSS指黑客使用HTML注入篡改了页面,插入恶意的脚本,从而使用户使用时,

第一种是反射型XSS

也叫非持续型XSS,通过诱惑用户点击某个链接,

第一种是存储型XSS

第4章 跨站点请求伪造(CSRF)

第5章 点击劫持(ClickJacking)

第6章 HTML 5 安全

时间: 2024-10-11 07:46:33

白帽子讲安全学习笔记(二):客户端脚本安全的相关文章

白帽子讲安全学习笔记(一):世界观安全

第一篇 世界观安全 第1章 我的安全世界观 安全三要素:机密性.完整性和可用性 1. 资产等级划分: 2. 威胁分析: 3. 风险分析: 4. 确认解决方案: 威胁分析: 风险分析-DREAD模型: 白帽子兵法: 1. security by default 黑名单.白名单原则: 最小权限原则: 2. 纵深防御原则 不同方面.不同层面的防御方案: 正确的地方做正确的事情: 3. 数据与代码分离 4. 不可预测性原则 让攻击者不能有效的执行攻击 第二篇 客户端脚本安全 第2章 浏览器安全 第3章

SVN学习笔记二——客户端使用

SVN部署完成并成功配置完成后,就是使用的事情了,对于SVN,使用最多的往往是开发人员而不是运维人员,所以可能一些开发人员在这方面都比运维人员更熟悉,在我的工作经历中就曾有一个开发自行搭建SVN并且给开发和运维做培训的,强! 好了,上面主要是说其实对于SVN使用反而是开发比较在行,所以这里就简单的记录一下SVN客户端的使用吧. Windows客户端的使用(TortoiseSVN) 1.安装TortoiseSVN,注意软件区分32位和64位,下载的时候请下载对应版本,然后安装只需下一步到完成即可.

angular学习笔记(二十八)-$http(6)-使用ngResource模块构建RESTful架构

ngResource模块是angular专门为RESTful架构而设计的一个模块,它提供了'$resource'模块,$resource模块是基于$http的一个封装.下面来看看它的详细用法 1.引入angular-resource.min.js文件 2.在模块中依赖ngResourece,在服务中注入$resource var HttpREST = angular.module('HttpREST',['ngResource']); HttpREST.factory('cardResource

Mina框架的学习笔记——Android客户端的实现

Apache MINA(Multipurpose Infrastructure for Network Applications) 是 Apache 组织一个较新的项目,它为开发高性能和高可用性的网络应用程序提供了非常便利的框架.当前发行的 MINA 版本支持基于 Java NIO 技术的 TCP/UDP 应用程序开发.串口通讯程序(只在最新的预览版中提供),MINA 所支持的功能也在进一步的扩展中.目前正在使用 MINA 的软件包括有:Apache Directory Project.Asyn

angular学习笔记(二十七)-$http(5)-使用$http构建RESTful架构

在angular中有一个特别为RESTful架构而定制的服务,是在$http的基础上进行了封装. 但是为了学习,我们先看看用直接$http是如何构建RESTful架构的: 假设有一个银行卡的列表.需要的功能有: 可以通过id来获取用户123的指定id的卡     'GET'  'card/user/123/id' 可以获取用户123的所有的银行卡             'GET'  'card/user/123' 可以更新用户123的指定id的卡                'POST' '

白帽子讲Web安全2.pdf

XSS构造技巧 利用字符编码: var redirectUrl="\";alert(/XSS/);"; 本身没有XSS漏洞,但由于返回页面是GBK/GB2312编码的“%c1\”成为了一个Unicode字符,忽略掉转义字符\ %c1";alert(/XSS/);// 绕过长度限制: 很多时候产生XSS的地方会有变量长度限制,将代码藏在location.hash中,然后在其他地方调用即可 http://www.a.com/test.html#alert(1) <

白帽子讲Web安全1.pdf

第一章 我的安全世界观 安全是一个持续过程 6种威胁:Spoofing(伪装).Tampering(篡改).Repudiation(抵赖).InformationDisclosure(信息泄漏).Denial of Service(拒绝服务).Elevation of Privilege(提升权限) 一个优秀的安全方案需要: 有效解决问题 用户体验良好 高性能 低耦合 易于升级和扩展 安全策略 Secure by Default原则(最小权限原则):白名单可通过和禁止黑名单,前者限制的范围更大更

Android学习笔记二

17. 在ContentProvider中定义的getType()方法是定义URI的内容类型. 18. SQLiteDatabase类中的insert/delete/update/query方法其实也挺好用的,我在EquipmentProvider类中做了实现 19. Android专门有个单元测试项目(Android Test Project),在这个项目中,可以新建一个继承AndroidTestCase类的具体测试类来单元测试某个功能.我新建了一个AndroidTestProject项目,在

Ajax学习笔记(二)

二.prototype库详解 1.prototype库的使用 //导入下载好的prototype.js文件 <script type="text/javascript" src="prototype.js"></script> //在自己的js中直接使用Prototype对象 <script type="text/javascript"> document.writeln("Prototype库的版本