黑客攻防技术宝典(十三)

最新推荐文章于 2023-06-18 14:34:45 发布
最新推荐文章于 2023-06-18 14:34:45 发布
阅读量174 收藏
点赞数
分类专栏: 读书笔记 # 攻防技术宝典
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YUKIDDDD/article/details/118403649
版权
本文深入探讨了Web安全的各种攻击手段,包括请求伪造、UI伪装、跨域数据捕获、同源策略、客户端注入攻击、本地隐私攻击、ActiveX控件攻击以及浏览器攻击等。同时,讲解了如何防止这些攻击,如防止CSRF、UI伪装、同源策略应用、防止SQL注入等,强调了保护用户隐私和系统安全的重要性。
摘要由CSDN通过智能技术生成

第13章 攻击用户:其它技巧

13.1 诱使用户执行操作

13.1.1 请求伪造

  1. 本站点请求伪造(OSRF)
  2. 跨站点请求伪造(CSRF)

13.1.2 UI伪装

  1. “破坏框架”防御
  2. 防止UI伪装

13.2 跨域捕获数据

13.2.1 通过注入HTML捕获数据

13.2.2 通过注入CSS捕获数据

13.2.3 JavaScript劫持

  1. 函数回调
  2. JSON
  3. 变量分配
  4. E4X

13.3 同源策略深入讨论

13.3.1 同源策略与浏览器扩展

  1. 同源策略与Flash
  2. 同源策略与Silverlight
  3. 同源策略与Java

13.3.2 同源策略与HTML5

13.3.3 通过代理服务应用程序跨域

13.4 其它客户端注入攻击

13.4.1 HHTP消息头注入

13.4.2 cookie注入

13.4.3 开放式重定向漏洞

13.4.4 客户端SQL注入

13.4.5 客户端HTTP参数污染

13.5 本地隐私攻击

13.5.1 持久性cookie

13.5.2 缓存Web内容

13.5.3 浏览历史记录

13.5.4 自动填充

13.5.5 Flash本地共享对象

13.5.6 Silverlight独立存储

13.5.7 Internet Explorer userData

13.5.8 HTML5本地存储和机制

13.5.9 防止本地隐私攻击

13.6 攻击ActiveX控件

13.6.1 查找ActiveX漏洞

13.6.2 防止ActiveX漏洞

13.7 攻击浏览器

13.7.1 记录键击

13.7.2 窃取浏览器历史记录与搜索查询

13.7.3 枚举当前使用的应用程序

13.7.4 端口扫描

13.7.5 攻击其他网络主机

13.7.6 利用非HTTP服务

13.7.7 利用浏览器漏洞

13.7.8 DNS重新绑定

13.7.9 浏览器利用框架

13.7.10 中间人攻击

13.8 小结

13.9 问题

YUKIDDDD
关注
专栏目录
黑客攻防技术宝典:浏览器实战篇 -- 上篇(笔记)
爱学习的程序媛
09-14 1481
读《黑客攻防技术宝典:浏览器实战篇》书籍做的笔记。
黑客攻防技术宝典(一)
YUKIDDDD的博客
06-27 2862
第一 web应用程序安全与风险1.1 web应用程序发展历程1.1.1 web应用程序常见功能1.1.2 web应用程序的优点1.2 web应用程序安全1.2.1 “本站点是安全的”1.2.2 核心安全问题:用户可提交任意输入1.2.3 关键问题因素1.2.3 新的安全边界1.2.5 web应用程序安全的未来1.3 小结 1.1 web应用程序发展历程 1.1.1 web应用程序常见功能 购物 社交网络 银行服务 web搜索 拍卖 博彩与投机 博客 web邮件 交互信息 1.1.2 web应用程序的优
黑客攻防技术宝典(二十一)
YUKIDDDD的博客
07-04 333
第21 Web应用程序渗透测试方法论21.1 解析应用程序内容21.1.1 搜索可见的内容21.1.2 浏览公共资源21.1.3 发现隐藏的内容21.1.4 查找默认内容21.1.5 枚举标识符指定的功能21.1.6 调试参数21.2 分析应用程序21.2.1 确定功能21.2.2 确定数据进入点21.2.3 确定所使用的技术21.2.4 解析受攻击面21.3 测试客户端控件21.3.1 通过客户端传送数据21.3.2 客户端输入控件21.3.3 测试客户端扩展组件21.4 测试验证机制21.4.1 了解
黑客攻防技术宝典(十)
YUKIDDDD的博客
06-30 986
第10 测试后端组件10.1 注入操作系统命令10.1.1 危险函数10.1.2 查找OS命令注入10.1.3 防止OS命令注入10.2 操作文件路径10.2.1 路径遍历漏洞10.2.2 文件包含漏洞10.3 注入XML解释器10.3.1 注入XML外部实体10.3.2 注入SOAP10.3.3 查找并利用SOAP注入10.3.4 防止SOAP注入10.4 注入后端HTTP请求10.4.1 服务器端HTTP重定向10.4.2 HTTP参数注入10.5 注入电子邮件10.5.1 操纵电子邮件标头10.5.
黑客攻防技术宝典(十二)
YUKIDDDD的博客
07-02 251
第12 攻击其他用户12.1 XSS的分类12.1.1 反射型XSS12.1.2 存储型XSS12.1.3 基于DOM的XSS12.2 进行中的XSS攻击12.2.1 真实XSS攻击12.2.2 XSS攻击有效载荷12.2.3 XSS攻击的传输机制12.3 查找并利用XSS漏洞12.3.1 查找并利用反射型XSS漏洞12.3.2 查找并利用保存型XSS漏洞12.3.4 查找并利用基于DOM的XSS漏洞12.4 防止XSS攻击12.4.1 防止反射型与保存型XSS漏洞12.4.2 防止基于DOM的XSS漏洞
黑客攻防技术宝典 系统篇(利用漏洞获得根特权)
yrx0619的专栏
01-24 1803
0x01 环境信息 OS:Debian3r4 GDB:GNU gdb 6.3-debian GCC:gcc version 3.3.5 (Debian 1:3.3.5-13) 0x02 代码 shellcode:需要注入到程序中的代码指令 "\xeb\x1a\x5e\x31\xc0\x88\x46\x07\x8d\x1e\x89\x5e\x08\x89\x46" "\x0c\xb0\x0b\x...
黑客攻防技术宝典:Web实战篇(第2版)1
08-03
黑客攻防技术宝典:Web实战篇(第2版)》是一本专注于Web应用程序安全的实战指南,由Dafydd Stuttard和Marcus Pinto撰写,由石华耀和傅志红翻译。该书深入浅出地探讨了Web应用程序的安全风险和攻防策略,适合网络...
黑客攻防技术宝典:Web实战篇》习题答案.docx
12-31
黑客攻防技术宝典:Web实战篇》习题答案.docx 本文档提供了《黑客攻防技术宝典:Web实战篇》一书第二版中的习题答案,涵盖了Web应用程序安全、核心防御机制、会话管理、访问控制、输入确认、跨站点脚本攻击、Web...
黑客攻防技术宝典(二十)
YUKIDDDD的博客
07-03 427
Web应用程序黑客工具包20.1 Web浏览器20.2 集成测试套件20.2.1 工作原理20.2.2 测试工作流程20.2.3 拦截代理服务器替代工具20.3 独立漏洞扫描器20.3.1 扫描器探测到的漏洞20.3.2 扫描器的内在限制20.3.3 扫描器面临的技术挑战20.3.4 当前产品20.3.5 使用漏洞扫描器20.4 其他工具20.5 小结 20.1 Web浏览器 Internet Explorer Firefox Chrome 20.2 集成测试套件 20.2.1 工作原理 拦截代理服务
黑客攻防技术宝典(十六)
YUKIDDDD的博客
07-03 255
第16 攻击本地编译型应用程序16.1 缓冲区溢出漏洞16.1.1 栈溢出16.1.2 堆溢出16.1.3 “一位偏移”溢出16.1.4 查找缓冲区溢出漏洞16.2 整数漏洞16.2.1 整数溢出16.2.2 符号错误16.2.3 查找整数溢出漏洞16.3 格式化字符串漏洞16.4 小结16.5 问题 16.1 缓冲区溢出漏洞 16.1.1 栈溢出 16.1.2 堆溢出 16.1.3 “一位偏移”溢出 16.1.4 查找缓冲区溢出漏洞 16.2 整数漏洞 16.2.1 整数溢出 16.2.2 符号错误 1
黑客攻防技术宝典(八)
YUKIDDDD的博客
06-30 233
第8 攻击访问控制8.1 常见漏洞8.1.1 完全不受保护的功能8.1.2 基于标识符的功能8.1.3 多阶段功能8.1.4 静态文件8.1.5 平台配置错误8.1.6 访问控制方法不安全8.2 攻击访问控制8.2.1 使用不用用户账户进行测试8.2.2 测试多阶段过程8.3.3 通过有线访问权限进行测试8.4.4 测试“直接访问方法”8.2.5 测试对静态资源的控制8.2.6 测试对HTTP方法试试的限制8.3 保障访问控制的安全8.4 小结8.5 问题 从逻辑上讲,应用程序的和新安全机制的访问控制建
热评一箩筐——《黑客攻防技术宝典
Y525698136的博客
06-18 238
[《 黑客攻防技术宝典: Web实战篇 》 ]自 8 月初上市,将近两个月共计销售 2500 多册(在今年金融危机这个大环境下,能有这样的销量还是相当不错的)。
黑客攻防技术宝典_web实战篇--12节详细: 其他测试(DOM攻击、框架注入、信息泄露)
moxucui7221的博客
03-13 280
12.1 测试基于DOM的攻击 12.3 测试本地隐私漏洞 检查信息泄露
黑客攻防技术宝典(九)
YUKIDDDD的博客
06-30 420
第9 攻击数据存储区9.1 注入解释性语言9.2 注入SQL9.2.1 利用一个基本的漏洞9.2.2 注入不同的语句类型9.2.3 查明SQL注入漏洞9.2.4 “指纹”识别数据库9.2.5 UNION操作符9.2.6 提取有用的数据9.2.7 使用UNION提取数据9.2.8 避开过滤9.2.9 二阶SQL注入9.2.10 高级利用9.2.11 SQL注入之外:扩大数据库攻击范围9.2.12 使用SQL注入工具9.2.13 SQL语法与错误参考9.2.14 防止SQL注入9.3 注入NoSQL9.4 注
[web安全]黑客攻防技术宝典-浏览器实战篇--钓鱼攻击
hzeyuan.cn
12-27 2166
钓鱼攻击是获得用户敏感信息的一种方法。钓鱼攻击的目标通常是在线银行用户、PayPal、eBay等。 主要形式: 1.电子邮件钓鱼 群发邮件,欺骗用户点击恶意的链接或附件,获取有价值的信息。 2.网站钓鱼 在网站上伪造一个网站,通常是模仿合法的某个网站。为了欺骗用户点击这个网站还会采取些辅助技术,比如钓鱼邮件,短信,电话啊。 3.鱼叉式钓鱼 经常也需要使用一个欺骗性的网站,但诱饵针对一小群目标受...
黑客攻防技术宝典-Web实战篇——第二、核心防御机制(一)
wwwmeymar的博客
01-10 1211
第二、核心防御机制(一) 在 上一 中我们讲到web应用程序的核心问题在于用户可以提交任何输入,那么相对应的防御机制也大都是针对用户的请求进行处理防御 下面是防御机制的核心因素: 处理用户访问应用程序的数据和功能,防止用户获得未授权访问。 处理用户访问程序的输入,防止错误输入造成不良行为 处理攻击者,确保应用程序在成为攻击目标时能正常运转。并采取攻击措施挫败攻击者。 管理应用程序本身,帮助管...
黑客攻防技术宝典:Web实战篇》第二版习题答案
11-13 6641
wahh答案
黑客攻防技术宝典:Web实战篇》习题答案(一)
dasini321的博客
05-17 1158
以下为《黑客攻防技术宝典:Web实战篇》一书第二版中的习题答案,特在此推出。
黑客攻防技术宝典web实战篇pdf
最新发布
12-10
黑客攻防技术宝典web实战篇pdf》是一本关于网络安全的实战技术手册,全书内容包括网络攻击与防御的基础知识、常见的Web攻击技术、渗透测试、安全防护等方面的知识。书中详细介绍了黑客常用的攻击手法,以及如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值