【嘟嘟资源网】Web前端黑客技术揭秘

1. 第1章Web安全的关键点………………..11.1数据与指令………………………11.2浏览器的同源策略…………………41.3信任与信任关系…………………..71.4社会工程学的作用…………………91.5攻防不单一…………………….91.6场景很重要……………………..101.7小结………………………..H第2章前端基础……………………….122.1W3C的世界法则……………….122.2URL……………………………………………………142.3HTTP协议……………………152.4松散的HTML世界…………………192.4.1DOM树………………..202.4.2iframe内嵌出一个开放的世界……………..212.4.3HTML内嵌脚本执行………222.5跨站之魂——JavaScript………………….232.5.1DOM树操作…………….232.5.2AJAX风险……………..252.5.3模拟用户发起浏览器请求••…•…302.5.4Cookie安全……………..332.5.5本地存储风险……………432.5.6E4X带来的混乱世界………482.5.7JavaScript函数劫持………..492.6一个伪装出来的世界一SS••…512.6.1CSS容销性……………..512.6.2样式伪装…………………522.6.3CSS伪类……………….522.6.4CSS3的属性选择符………..532.7另一个幽灵——ActionScript ………….552.7.1Flash安全沙箱…………..552.7.2HTML嵌入Flash的安全相关配置……………592.7.3跨站Flash ………………………………612.7.4参数传递…………………642.7.5Flash里的内嵌HTML…………….652.7.6与JavaScript通信………..672.7.7网络通信…………………712.7.8其他安全问题……………..71第3童前端黑客之XSS ………………………….723.1XSS概述…………………….733.1.1“跨站脚本”重要的是脚本••…733.1.2一个小例子……………..743.2XSS类型…………………….763.2.1反射型XSS ……………………………763.2.2存储型XSS ……………………………773.2.3DOMXSS ………………………………..783.3哪里可以出现XSS攻击…………..803.4有何危害……………………….81第4童前端黑客之CSRF …………………………834.1CSRF概述…………………….844.1.1跨站点的请求… …………..844.1.2请求是伪造的………………844.1.3一个场景………………..844.2CSRF类磐…………………….894.2.1HTML CSRF攻击…………89
2. •XVI -4.2.2JSON Hijacking攻击……….904.23Flash CSRF攻击…………..944.3有何危害………………………..96第5童前端黑客之界面操作劫持…..975.1界面操作劫持概述…………………975.1.1点击劫持(Clickjacking) …………….985.1.2拖放劫持(Drag&Dropjacking) ………………….985.1.3触卅劫持(Tapjacking) ………………995.2界面操作劫持技术原理分析••…•…995.2.1透明层+iframe…………………………..995.2.2点击劫持技术的实现………..1005.2.3拖放劫将技术的实现………..1015.2.4触屏劫持技术的实现………..1035.3界面操作劫持实例………………..1065.3.1点由劫持实例……………..10653.2拖放劫持实例……………1115.3.3触屏劫持实例……………1195.4有何危害……………………….121第6章漏洞挖掘……………………….1236.1普通XSS漏洞自动化挖掘思路…………………….1246.1.1URL上的玄机……………1256.1.2HTML中的玄机………….1276.1.3请求中的玄机……………1346.1.4关于存储型XSS挖掘………..1356.2神奇的DOM渲染……………….1356.2.1HTML与JavaScript自解码机制……………..1366.2.2具备HtmlEncode功能的标签……………..1406.2.3URL编码差异……………1426.2.4DOM修正式淌染…………1456.2.5种DOM fuzzing技巧…..1466.3DOMXSS挖掘………………1506.3.1静态方法……………….15063.2动态方法……………….1516.4FlashXSS挖掘………………1536.4.1XSF挖掘思路……………1536.4.2Google Flash XSS挖掘…….1566.5字符集缺陷导致的XSS……………………………1596.5.1宽字节编码带来的安全问题•…1606.5.2UTF-7问题…………….1616.5.3浏览器处理字符集编码BUG带来的安全问题……..1656.6绕过浏览器XSS Filter………………………1656.6.1响应头CRLF注入绕过……….1656.6.2针对同域的白名单………….1666.6.3场景依赖性高的绕过………..1676.7混淆的代码…………………..1696.7.1浏览器的进制常识………….1696.7.2浏览器的编码常识………….1756.7.3HTML中的代码注入技巧……1776.7.4CSS中的代码注入技巧…….1906.7.5JavaScript中的代码注入技巧……………….196
3. -XVII -6.7.6突破URL过滤……………2016.7.7更多经典的混淆Checklist••…2026.8其他案例分享——GmaikCookie XSS ………………………………204第7章漏洞利用……………………….2067.1渗透前的准备……………………2067.2偷取隐私数据……………………2087.2.1XSS探针：xssprobe………………..2087.2.2Referer惹的祸……………2147.2.3浏览器记住的明文密码………2167.2.4键盘记城器……………….21972.5偷取黑客隐私的•个.小技巧:.••:•,…:•2227.3.内网渗透技木…………..223“7.3.1次取内网’1P•……••…:•……•…••••••223二7.3：2获取内网IP端口…；•………=2247.3.3获取内网上机存活状态………225-…7.3.4■开启路山器的远程.••.一访问能力.•:…………….2267.3.5内网赅锅的Wet),后用控制••…2277.4f CSRF W攻击技术……•…•••22875.浏览器劫持技术・……………….230• “7.6:咚跨域操作.技术:”• 2327.6.1IE res:协议跄域…,:••… …232■• 7.6.2 CSS String Injection時域•…233..7.6.3測览器特权X域域险………–2357.6.4浏览器扩展风险“………•••2377.6.5跨「域：document.domain技巧240.••7.6,6更多经典的跨域索引…••…••245-• 7.7 XSS Proxy技术………•••2467.7.1浏览器〈script〉请求……..2477.7.2浏览器跨域AJAX请求…….2487.7.3服务端WebSocket推送指令……………….2497.7.4postMessage方式推送指令•…2517.8真实案例剖析……………………2547.8.1高级钓伯攻击之白度空间■登录DIV层钓鱼……………2547.8.2高级钓龟攻击之Gmail正常服务钓伯………………………2617.8.3人人网跨『域盗取MSN玲•…2657.8.4跨站获取更高权限………….2677.8.5大规模XSS攻击思想;………..2757.9关JXSS利用框架..……二…….276.•:..■•• •・•- :..・•….•,.・•,.;…….第8章HTML5安全…………………二…2778.1薪标签和新属性绕过黑名単策略…:… ……………………………2788.1.1跨站中的黑名单策緖…………278:’–8.1.2新兀素突破黑名単策略…•”••二2808.2HistoryAPI4*的新方法•••：，.•：••…“2828.2.1, pu?hState()和replaceState() • 2828.2.2短地址^History新方法=完美隐藏URL恶总代码•…••…283，-8.2.3：伪造历史话泉………………………….2848.3\-HTML5卜的僵尸网络：•….二•,…—-285.8.3.1 Web Worker的使用••……2868.3.2CORS向任意网站发送跨域请求上宀…• 287′ . 8.3.3：..-个HTML5傭尸网络实例…2878.4地理适位暴露你的位置二…290
4. -XVIII -.，•一•七’:8.4.1隐私保护机制•••••••’……290-8.4.2通过XSS盗取地理位置292第9章WebUI虫…………………..2939.1Web蠕虫思想………………….2949.2XSS蠕虫…………….2959.2.1原理+ •个故事…………….2959.2.2危害性…………………2979.2.3SNS社区XSS蠕虫……….3009.2.4简约且原生态的蠕虫………..3049.2.5蠕虫需要追求原生态………..3059.3CSRF蠕虫……………………3079.3.1关于原理和危害性………….3079.3.2译言CSRFW5虫………….3089.3.3饭否CSRF蠕虫——邪恶的Flash游戏………….3149.3.4CSRF蠕虫存在的可能性分析……………..3209.4Clickjacking蠕虫……………….3249.4.1Clickjacking蜻虫的由来3259.4.2Clickjacking蠕虫技术原理分析……………3259.4.3Facebook的LikeJacking蠕虫…3279.4.4GoogleReader的ShareJacking蠕虫…………3279.4.5Clickjacking蠕虫爆发的可能性……………335第10童关于防御………………………33610.1浏览器厂商的防御……………….33610.1.1HTTP响应的X.头部…….33710.1.2迟到的CSP策略……………33810.2Web厂商的防御……………….34110.2.1域分离………………..34110.2.2安全传输………………34210.23安全的Cookie ………………………..34310.2.4优秀的验证码…………….34310.2.5慎防第三方内容…………34410.2.6XSS防御方案…………..34510.2.7CSRF防御方案………….34810.2.8界面操作劫持防御… ……….35310.3用户的防御…………………….35710.4邪恶的SNS社区

原文链接：https://duduziy.com/341.html，转载请注明出处。 郑重声明： 本站所有内容仅供大家参考、学习，不存在任何商业目的与商业用途。 若您需要商业运营或用于其他商业活动，请您购买正版授权并合法使用。 我们不承担任何技术及版权问题，且不对任何资源负法律责任。 如遇到资源无法下载，请点击这里失效报错。失效报错提交后记得查看你的留言信息，24小时之内反馈信息。 如有侵犯您的版权，请给我们私信，我们会尽快处理，并诚恳的向你道歉！