ajax安全讀書筆記
1.胖客戶端的部署方案
java web start
.net clickonce
2.入侵思路
HTTP資料的記錄->發現ajax可能存在問題的點->繞過javascript的一些限制和破解javascript混淆程式碼->找到json的sql注入點->找到ajax可以新增管理員的回撥函式和json相關
3.sql注入小技巧
union select name from sysobjects where xtype=`U`只要得到相同的欄位
4.客戶端取消cookie認證不是保證了安全,而是把威脅又無形擴大了
5.ajax攻擊層面包括了傳統的WEB漏洞+WEB SERIVCES漏洞。
6. 報頭中可能存在危險的注入
7.RSS注入(外部資料可以參考 black hat 2006年Robert Auger
http://www.cgisecurity.com/papers/RSS-Security.ppt的文章)
8.json的漏洞必須要驗證序列化資料(外部參考資料black hat 2005 Attack web Services: The next Generation of vulneralbe enterprise apps下載地址http://www.blackhat.com/presentations/bh-usa-05/bh-us-05-stamos.pdf
和HackInTheBox的pentesting java/j2ee)
9.douglas防禦Json的eval注入
相關文章
- 《白帽子講web安全》讀書筆記Web筆記
- 讀書筆記筆記
- 《讀書與做人》讀書筆記筆記
- 「構建安全的 PHP 應用」讀書筆記PHP筆記
- postgres 讀書筆記筆記
- 讀書筆記2筆記
- 讀書筆記3筆記
- Cucumber讀書筆記筆記
- webpackDemo讀書筆記Web筆記
- Vue讀書筆記Vue筆記
- 散文讀書筆記筆記
- HTTP 讀書筆記HTTP筆記
- 《論語》讀書筆記筆記
- 《重構》讀書筆記筆記
- PMBook讀書筆記(一)筆記
- js高程讀書筆記JS筆記
- 《如何有效閱讀一本書》讀書筆記筆記
- 讀書筆記(2)《微精通》筆記
- 【GO】《GO HANDBOOK》讀書筆記Go筆記
- 《Effective C++》讀書筆記C++筆記
- 編譯原理讀書筆記編譯原理筆記
- 類載入讀書筆記筆記
- 《Effective-Ruby》讀書筆記筆記
- 《CSS揭祕》讀書筆記CSS筆記
- C++讀書筆記:字串C++筆記字串
- 產品讀書筆記-需求筆記
- 《將心注入》讀書筆記筆記
- 《圖解 HTTP》 讀書筆記圖解HTTP筆記
- Raft論文讀書筆記Raft筆記
- 讀書筆記-沒有空白筆記
- JVM讀書筆記之OOMJVM筆記OOM
- swift語法-讀書筆記Swift筆記
- 今日隨筆-構建之法讀書筆記筆記
- 讀書筆記(13)《中年覺醒》筆記
- 【讀書筆記】餘華 - 活著筆記
- 《孩子的大腦》讀書筆記筆記
- 《Head First Java》20201017讀書筆記Java筆記
- 《Head First Java》20200927讀書筆記Java筆記
- 《Head First Java》20201009讀書筆記Java筆記