Web 安全:前端攻击 XSS 深入解析

作者/分享人:肖志华
ID:rNma0y,信安自学,白帽子,某漏洞平台排名top100内,撞过很多坑,跌撞复前行。研究方向web安全,反黑产。现惊龙安全团队负责人(诚寻Web安全方向的朋友一同发展,有兴趣可带上简历与我联系或者发送邮件至:web@secus.org)

你知道点击一个链接你就被盗号了吗?你知道你打开一个链接你的钱就没了吗? 本场主题,前端 XSS 攻击详解。

XSS 即跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。

XSS 攻击存在的因素和前端开发者安全意识也有一定关系,许多项目负责人手里的项目大多数都有 XSS 隐患,GitChat 前些天我也反馈了一个反射性 XSS 漏洞。 预定本场活动,我将分享:

  1. XSS 漏洞手动挖掘
  2. XSS 漏洞原理和类型
  3. XSS Poc检测
  4. XSS 攻击框架
  5. DOM XSS
  6. 储存性 XSS

同时我会给出相应的漏洞修复方法,适合前端开发自查,也适合渗透测试人员提高姿势,有需求请预订。

已有42人预订
预订达标
文章出炉
交流日期
     
11月13日
11月27日
12月04日
预订后,您将在11月27日之前获得一篇专享文章,并在12月04日前参与一场为本文作者和读者定制的长达90分钟的专属线上交流,您还将获得一张肖志华的读者圈Pass
请务必添加GitChat服务号以查看活动进度及获取活动通知。
退款保证:
• 11月19日前,预订人数未达标,您将获得全额退款。
• 作者未按时完成文章,您将获得全额退款。
• 作者未按时间进行分享,您将获得全额退款。
• 读者圈Pass的有效期为6个月。
你可能还喜欢
你真的理解函数式编程吗?
李龙生
个人开发者如何通过人工智能盈利?
陈浩
钓鱼网站与反钓鱼技术剖析(圆桌会议)
肖志华
深入浅出解读 Spring 源码:IOC/AOP 篇
Mr. Chang
从机器学习新手到工程师:Coursera 公开课学习路径指南
chen_h
利用 React/Redux/React-Router 4/webpack 开发大型 web 项目时如何按需加载
爱死费崇政
人工智能:风口之上泡沫之中谨慎入坑
沧夜
入行 AI,选个脚踏实地的岗位
李烨
TensorFlow 分布式原理与应用实践
刘光聪
如何进入开源世界并打造自己的明星 Project?
王爵nice
AJAX 中 JSON 数据反序列化方法详解
Memory
如何设计出高可用、高性能的接口
LY
区块链的应用案例剖析
丹华CFA
语音云的大数据实践之路
韦邦灯
这样做,你的面试成功率将达到 90%
公子禹
微信扫描登录