OWASP - XSS

by Chess

網頁組成

HTML

JavaScript

CSS

骨頭

肌肉

衣服

身份辨識

Session & Cookie

Session Cookie
存在Server端 存在你的電腦裡
安全性相對高 安全性相

HTML是什麼?

Hyper

Text

Markup

Language

超文件標記語言

基本語法

<!DOCTYPE html>

<html>
    <head>
	<title>NISRA</title>
    </head>
    <body>
        <!-- 我是註解~~~ -->
    </body>
</html>

常用的標籤

網頁超連結
<a href="http://www.nisra.net/">NISRA</a>

圖片
<img src="https://cimg.applefile.com/2018/07/15/cnVkZm9hcGZoZF8xNTMxNjQzOTc0.jpg" alt="血小板">

試試看寫個網頁出來吧

JavaScript是什麼?

  • 一種直譯式語言

  • 可直接寫入HTML語法中

用處

  • 對瀏覽器事件做出回應

  • 在資料被提交到伺服器前做驗證

  • 檢查訪客瀏覽器資訊

  • 控制Cookie的建立及修改

試試看用一張圖片來觸發JavaScript吧~

網址也可以觸發JavaScript喔!!!

XSS是什麼?

跨網站腳本攻擊

Cross

Site

Script

跨網站腳本攻擊

Cross

Site

Script

Xross ???

攻擊類型

  • Reflected

  • Stored

  • DOM-Based

攻擊效果

  • 提權

  • 取得機敏資料

  • 使用者的Cookie或Session

It's Your Turn!

練習網站

Lv. 1

Hint :

試試看有沒有最基本的插入語法

Lv. 2

Hint :

留言板可以放什麼檔案呢

Lv. 3

Hint :

點圖片注意看網址

Lv. 4

Hint :

--> Timer.html <--

挖寶

Lv. 5

Hint :

網址網址網址

可以幹嘛

Lv. 6

Hint :

從外部導入Javascript

如何防範XSS?

  • 不信任使用者輸入的資料

  • 將有可能注入的特殊符號encoding

The End

[20181003] NISRA - OWASP XSS

By Chess Kuo

[20181003] NISRA - OWASP XSS

  • 349