ajax 安全读书笔记
来源:互联网 发布:ubuntu无线网卡找不到 编辑:程序博客网 时间:2024/06/03 21:45
1.胖客户端的部署方案
java web start
.net clickonce
2.入侵思路
HTTP数据的记录->发现ajax可能存在问题的点->绕过javascript的一些限制和破解javascript混淆代码->找到json的sql注入点->找到ajax可以添加管理员的回调函数和json相关
3.sql注入小技巧
union select name from sysobjects where xtype='U'只要得到相同的字段
4.客户端取消cookie认证不是保证了安全,而是把威胁又无形扩大了
5.ajax攻击层面包括了传统的WEB漏洞+WEB SERIVCES漏洞。
6. 报头中可能存在危险的注入
7.RSS注入(外部资料可以参考 black hat 2006年Robert Auger
http://www.cgisecurity.com/papers/RSS-Security.ppt的文章)
8.json的漏洞必须要验证序列化数据(外部参考资料black hat 2005 Attack web Services: The next Generation of vulneralbe enterprise apps下载地址http://www.blackhat.com/presentations/bh-usa-05/bh-us-05-stamos.pdf
和HackInTheBox的pentesting java/j2ee)
9.douglas防御Json的eval注入
- ajax 安全读书笔记
- Ajax读书笔记
- [读书笔记][java][安全]安全管理器
- web安全--读书笔记
- 《Web安全测试》读书笔记
- Ajax Patterns 读书笔记 --1
- Ajax Patterns 读书笔记 --2
- Ajax Patterns 读书笔记 --4
- Ajax Patterns 读书笔记 --3
- Ajax Patterns 读书笔记 --5
- Ajax in action读书笔记
- ajax读书笔记(一)
- Ajax读书笔记(四)
- Ajax基础教程读书笔记
- ajax基础读书笔记 第一章
- 《ajax实战》读书笔记
- ROR读书笔记 Ajax 练习
- 黑马程序员-AJax读书笔记
- 使用PHPHessian调用Java Spring Hessian暴露服务
- java 时间格式化
- gridview 合并单元格
- cpio
- asp.net 本地化
- ajax 安全读书笔记
- Hope 2010
- JQuery实战第一讲:验证用户名是否可用!
- 转的mfc学习
- 在jsp中进行JNDI数据源调试
- zz--WINCE TCPMP应用四:利用TCPMP插件开发程序
- 今天开始写Blog
- 社会
- [转]毕业5年决定你的命运 --------值得所有不甘平庸的人看看