XSS攻擊

講者簡介⼤大同⼤大學．資⼯工3年⽣生

TDOHacker．幹部

先來點前置技能

JavaScript

Javascript跟Java的關係就像熱狗跟狗⼀一樣

先來點前置技能

JavaScript

Javascript跟Java的關係就像熱狗跟狗⼀一樣

沒有關係

Javascript基礎

alert

console.log

Live Demo 因為沒有環境

所以就算了（被毆打）

再來點前置技能

Cookie

Cookie

Cookie是⽤用來驗證網⾴頁上的使⽤用者

PHPSESSION

ASPSESSION

JSESSION

Cookie - 實例

噓~知道的不要講

回歸正題

XSS

全名：Cross-Site Scripting（跨站指令碼攻擊）

危害：中等（VulReport評等）

作⽤用：可竄改網⾴頁內容、︑進⾏行網⾴頁操作、︑偷取Cookie

常⾒見區域：網⾴頁留⾔言板、︑登入畫⾯面等

Live Demo 因為沒有環境

所以就算了（被毆打）

XSS 進階⼿手法

String.formCharCode()、︑eval()

img、︑body、︑svg

SELF XSS

Live Demo 因為沒有環境

所以就算了（被毆打）

如何防範XSS︖？

盡量避免讓使⽤用者輸入的資料顯⽰示在畫⾯面上

在必要的輸出時，⼀一定要進⾏行過濾

htmlentities()

以IPS防禦時應注意規則