本文深入探讨了Java软件安全问题,重点讨论了CSRF跨站点请求伪造、XSS跨站脚本攻击,包括反射型、存储型和DOM型XSS,以及XML RPC。此外,还介绍了ASLR、DEP等反利用技术,强调了对象反序列化在Java中的安全风险和序列化、反序列化的概念。
Software Security Issues (Especially Java)
CSRF (Cross—Site Request Forgery) 跨站点请求伪造
(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
https://www.jianshu.com/p/7f33f9c7997b
XSS (Cross Site Scripting) 跨站点脚本
跨站脚本(XSS)是一种攻击技术,包括将攻击者提供的代码回传到用户的浏览器实例中。浏览器实例可以是一个标准的网络浏览器客户端,也可以是一个嵌入软件产品的浏览器对象,如WinAmp中的浏览器、RSS阅读器或电子邮件客户端。代码本身通常是用HTML/JavaScript编写的,但也可能扩展到VBScript、ActiveX、Java、Flash或任何其他浏览器支持的技术。
当攻击者让用户的浏览器执行他/她的代码时,该代码将在托管网站的安全上下文(或区域)内运行。有了这个级别的权限,代码就有能力读取、修改和传输浏览器所能访问的任何敏感数据。一个跨站脚本用户可能会被劫持他/她的账户(cookie被盗),他们的浏览器被重定向到另一个地方,或者可能显示他们正在访问的网站提供的欺诈性内容。跨站脚本攻击从本质上破坏了用户和网站之间的信任关系。利用从文件系统加载内容的浏览器对象实例的应用程序可能会在本地机器区执行代码,从而使系统受到损害。
Cross-site Scripting (XSS) is an attack technique that involves echoing attacker-supplied code into a user’s browser instance. A browser instance can be a standard web browser client, or a browser object embedded in a software product such as the browser within WinAmp, an RSS reader, or an email client. The code itself is usually written in HTML/JavaScript, but may also extend to VBScript, ActiveX, Java, Flash, or any other browser-supported technology.
When an attacker gets a user’s browser to execute his/her code, the code will run within the security context (or zone) of the hosting web site. With this level of privilege, the code has the ability to read, modify and transmit any sensitive data accessible by the browser. A Cross-site Scripted user could have his/her account hijacked (cookie
最低0.47元/天 解锁文章
扫一扫
9996
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
