前端攻击 XSS 深入解析

作者/分享人:肖志华
向 Ta 提问
ID:rNma0y,一个搞信安的小朋友,白帽子/看雪论坛安全专家 ,同时也是一个缺少社会的毒打的年轻人。现担任渗透测试工程师,涉猎过无线电、Web、软件逆向、民间黑产情报感知,理解攻防,姿势不错。也是一支不出名的民间小型安全团队队长,懂得不多,还请毒打,联系邮箱:Web@secus.org

你知道点击一个链接你就被盗号了吗?你知道你打开一个链接你的钱就没了吗? 本场主题,前端 XSS 攻击详解。

XSS 即跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。

XSS 攻击存在的因素和前端开发者安全意识也有一定关系,许多项目负责人手里的项目大多数都有 XSS 隐患,GitChat 前些天我也反馈了一个反射性 XSS 漏洞。 预定本场活动,我将分享:

  1. XSS 漏洞手动挖掘
  2. XSS 漏洞原理和类型
  3. XSS Poc检测
  4. XSS 攻击框架
  5. DOM XSS
  6. 储存性 XSS

同时我会给出相应的漏洞修复方法,适合前端开发自查,也适合渗透测试人员提高姿势,有需求请预订。

已有405人预订
预订达标
文章出炉
交流日期
     
17.11.13
17.11.27
17.12.05 20:30
你可能还喜欢
Java 开发必备面试题详解(技术+人事)
宁楠
如何设计一个灵活的 MySQL 数据表,应对灵活多变的需求
李岩
纯前端大数据处理技术:葡萄城纯前端开发工具应用实践
葡萄城技术团队
Jenkins 自动化构建部署实战
火币集团研发中心
Java 程序员应掌握的 Nginx 实战应用
JPM
小白机器学习基础算法学习必经之路
武博士
带你玩转 JSON
能量架构师
Python Pandas 做数据分析之玩转 Excel 报表分析
WinterLeo
从零搭建 Hadoop 集群
杨爵爷
小程序从入门到进阶
loonglong
微信开放平台的授权和业务开发
JacksonY
实战剖析 Java 秒杀系统的实现
虎口脱险
实战讲解接口自动化测试思路
金刚
Java 并发面试题解
Eric Chen
一篇文章读懂 MySQL 中的锁
张宏杰
微信扫描登录