日韩偷拍一区二区,国产香蕉久久精品综合网,亚洲激情五月婷婷,欧美日韩国产不卡

第1章 Web安全的關(guān)鍵點

1.1 數(shù)據(jù)與指令

1.2 瀏覽器的同源策略

1.3 信任與信任關(guān)系

1.4 社會工程學(xué)的作用

1.5 攻防不單一

1.6 場景很重要

1.7 小結(jié)

第2章 前端基礎(chǔ)

2.1 W3C的世界法則

2.2 URL

2.3 HTTP協(xié)議

2.4 松散的HTML世界

2.4.1 DOM樹

2.4.2 iframe內(nèi)嵌出一個

開放的世界

2.4.3 HTML內(nèi)嵌腳本執(zhí)行

2.5 跨站之魂——JavaScript

2.5.1 DOM樹操作

2.5.2 AJAX風(fēng)險

2.5.3 模擬用戶發(fā)起瀏覽器請求

2.5.4 Cookie安全

2.5.5 本地存儲風(fēng)險

2.5.6 E4X帶來的混亂世界

2.5.7 JavaScript函數(shù)劫持

2.6 一個偽裝出來的世界——CSS

2.6.1 CSS容錯性

2.6.2 樣式偽裝

2.6.3 CSS偽類

2.6.4 CSS3的屬性選擇符

2.7 另一個幽靈——ActionScript

2.7.1 Flash安全沙箱

2.7.2 HTML嵌入Flash的

安全相關(guān)配置

2.7.3 跨站Flash

2.7.4 參數(shù)傳遞

2.7.5 Flash里的內(nèi)嵌HTML

2.7.6 與JavaScript通信

2.7.7 網(wǎng)絡(luò)通信

2.7.8 其他安全問題

第3章 前端黑客之XSS

3.1 XSS概述

3.1.1 "跨站腳本"重要的是腳本

3.1.2 一個小例子

3.2 XSS類型

3.2.1 反射型XSS

3.2.2 存儲型XSS

3.2.3 DOM XSS

3.3 哪里可以出現(xiàn)XSS攻擊

3.4 有何危害

第4章 前端黑客之CSRF

4.1 CSRF概述

4.1.1 跨站點的請求

4.1.2 請求是偽造的

4.1.3 一個場景

4.2 CSRF類型

4.2.1 HTML CSRF攻擊

4.2.2 JSON HiJacking攻擊

4.2.3 Flash CSRF攻擊

4.3 有何危害

第5章 前端黑客之界面操作劫持

5.1 界面操作劫持概述

5.1.1 點擊劫持(Clickjacking)

5.1.2 拖放劫持

(Drag&Dropjacking)

5.1.3 觸屏劫持(Tapjacking)

5.2 界面操作劫持技術(shù)原理分析

5.2.1 透明層+iframe

5.2.2 點擊劫持技術(shù)實現(xiàn)

5.2.3 拖放劫持技術(shù)實現(xiàn)

5.2.4 觸屏劫持技術(shù)實現(xiàn)

5.3 界面操作劫持實例

5.3.1 點擊劫持實例

5.3.2 拖放劫持實例

5.3.3 觸屏劫持實例

5.4 有何危害

第6章 漏洞挖掘

6.1 普通XSS漏洞自動化

挖掘思路

6.1.1 URL上的玄機

6.1.2 HTML中的玄機

6.1.3 請求中的玄機

6.1.4 關(guān)于存儲型XSS挖掘

6.2 神奇的DOM渲染

6.2.1 HTML與JavaScript

自解碼機制

6.2.2 具備HtmlEncode

功能的標(biāo)簽

6.2.3 URL編碼差異

6.2.4 DOM修正式渲染

6.2.5 一種DOM fuzzing技巧

6.3 DOM XSS挖掘

6.3.1 靜態(tài)方法

6.3.2 動態(tài)方法

6.4 Flash XSS挖掘

6.4.1 XSF挖掘思路

6.4.2 Google Flash XSS挖掘

6.5 字符集缺陷導(dǎo)致的XSS

6.5.1 寬字節(jié)編碼帶來的安全問題

6.5.2 UTF-7問題

6.5.3 瀏覽器處理字符集編碼

BUG帶來的安全問題

6.6 繞過瀏覽器XSS Filter

6.6.1 響應(yīng)頭CRLF注入繞過

6.6.2 針對同域的白名單

6.6.3 場景依賴性高的繞過

6.7 混淆的代碼

6.7.1 瀏覽器的進(jìn)制常識

6.7.2 瀏覽器的編碼常識

6.7.3 HTML中的代碼注入技巧

6.7.4 CSS中的代碼注入技巧

6.7.5 JavaScript中的代碼

注入技巧

6.7.6 突破URL過濾

6.7.7 更多經(jīng)典的混淆CheckList

6.8 其他案例分享——

Gmail Cookie XSS

第7章 漏洞利用

7.1 滲透前的準(zhǔn)備

7.2 偷取隱私數(shù)據(jù)

7.2.1 XSS探針：xssprobe

7.2.2 Referer惹的禍

7.2.3 瀏覽器記住的明文密碼

7.2.4 鍵盤記錄器

7.2.5 偷取黑客隱私的

一個小技巧

7.3 內(nèi)網(wǎng)滲透技術(shù)

7.3.1 獲取內(nèi)網(wǎng)IP

7.3.2 獲取內(nèi)網(wǎng)IP端口

7.3.3 獲取內(nèi)網(wǎng)主機存活狀態(tài)

7.3.4 開啟路由器的遠(yuǎn)程

訪問能力

7.3.5 內(nèi)網(wǎng)脆弱的Web應(yīng)用控制

7.4 基于CSRF的攻擊技術(shù)

7.4.1 基于CSRF的XSS攻擊

7.5 瀏覽器劫持技術(shù)

7.6 一些跨域操作技術(shù)

7.6.1 IE res:協(xié)議跨域

7.6.2 CSS String Injection跨域

7.6.3 瀏覽器特權(quán)區(qū)域風(fēng)險

7.6.4 瀏覽器擴(kuò)展風(fēng)險

7.6.5 跨子域：document.domain

技巧

7.6.6 更多經(jīng)典的跨域索引

7.7 XSS Proxy技術(shù)

7.7.1 瀏覽器