ajax安全讀書筆記
1.胖客戶端的部署方案
java web start
.net clickonce
2.入侵思路
HTTP資料的記錄->發現ajax可能存在問題的點->繞過javascript的一些限制和破解javascript混淆程式碼->找到json的sql注入點->找到ajax可以新增管理員的回撥函式和json相關
3.sql注入小技巧
union select name from sysobjects where xtype=`U`只要得到相同的欄位
4.客戶端取消cookie認證不是保證了安全,而是把威脅又無形擴大了
5.ajax攻擊層面包括了傳統的WEB漏洞+WEB SERIVCES漏洞。
6. 報頭中可能存在危險的注入
7.RSS注入(外部資料可以參考 black hat 2006年Robert Auger
http://www.cgisecurity.com/papers/RSS-Security.ppt的文章)
8.json的漏洞必須要驗證序列化資料(外部參考資料black hat 2005 Attack web Services: The next Generation of vulneralbe enterprise apps下載地址http://www.blackhat.com/presentations/bh-usa-05/bh-us-05-stamos.pdf
和HackInTheBox的pentesting java/j2ee)
9.douglas防禦Json的eval注入
相關文章
- 《白帽子講web安全》讀書筆記Web筆記
- WCF的傳輸安全(讀書筆記)筆記
- 讀書筆記筆記
- 讀書筆記...筆記
- 「構建安全的 PHP 應用」讀書筆記PHP筆記
- Cucumber讀書筆記筆記
- 散文讀書筆記筆記
- HTTP 讀書筆記HTTP筆記
- CoreJava讀書筆記-------Java筆記
- flask讀書筆記Flask筆記
- Vue讀書筆記Vue筆記
- MONGODB 讀書筆記MongoDB筆記
- Qt讀書筆記QT筆記
- Node讀書筆記筆記
- SAP讀書筆記筆記
- YII讀書筆記筆記
- iptables 讀書筆記筆記
- Makefile 讀書筆記筆記
- mysql讀書筆記MySql筆記
- 鎖讀書筆記筆記
- dataguard讀書筆記筆記
- 《圖解TCP/IP》讀書筆記九:網路安全圖解TCP筆記
- 軟體安全開發生命週期讀書筆記筆記
- 《重構》讀書筆記筆記
- webpackDemo讀書筆記Web筆記
- PMBook讀書筆記(一)筆記
- Effective Java 讀書筆記Java筆記
- js高程讀書筆記JS筆記
- “Docker Practice”讀書筆記Docker筆記
- FPGA讀書筆記5FPGA筆記
- FPGA讀書筆記3FPGA筆記
- FPGA讀書筆記4FPGA筆記
- FPGA讀書筆記2FPGA筆記
- FPGA讀書筆記1FPGA筆記
- 《精通JavaScript》讀書筆記JavaScript筆記
- 讀書筆記摘錄:筆記
- 《矽谷之父》讀書筆記筆記
- 重構讀書筆記筆記