随笔- 234  文章- 79  评论- 750 
随笔分类 - 前端安全
谨慎能捕千秋蝉(三)——界面操作劫持与HTML5安全
摘要:一、界面操作劫持 1)ClickJacking ClickJacking点击劫持,这是一种视觉上的欺骗。 攻击者使用一个透明的、不可见的iframe,覆盖在网页的某个位置上,诱使用户点击iframe。 2)TapJacking 现在移动设备的使用率越来越高,针对移动设备的特点,衍生出了TapJack 阅读全文
posted @ 2017-02-15 10:02 咖啡机(K.F.J) 阅读 (945) | 评论 (0) 编辑
谨慎能捕千秋蝉(二)——CSRF
摘要:CSRF(Cross Site Request Forgery)跨站点请求伪造。 CSRF的本质是当重要操作的参数都能被攻击者预测到,才能成功伪造请求。 一、场景演示 下图是一个伪造请求的场景,按顺序来看; 1、2是正常登陆并产生Cookie,3、4是在登陆后访问骇客的网站并发请求,5是服务器执行骇 阅读全文
posted @ 2017-02-14 10:36 咖啡机(K.F.J) 阅读 (687) | 评论 (1) 编辑
谨慎能捕千秋蝉(一)——XSS
摘要:最近在研读《白帽子讲web安全》和《Web前端黑客技术揭秘》,为了加深印象,闲暇之时做了一些总结。 下面是书中出现的一些专有词汇: POC(Proof Of Concept):观点验证程序,运行这个程序就可以得出预期的结果,也就验证了观点。 Payload:有效负载,在病毒代码中实现这个功能的部分。 阅读全文
posted @ 2017-02-13 09:42 咖啡机(K.F.J) 阅读 (1421) | 评论 (1) 编辑