OWASP - XSS

by Chess

網頁組成

HTML

JavaScript

CSS

骨頭

肌肉

衣服

身份辨識

Session & Cookie

Session	Cookie
存在Server端	存在你的電腦裡
安全性相對高	安全性相

HTML是什麼?

Hyper

Text

Markup

Language

超文件標記語言

基本語法

<!DOCTYPE html>

<html>
    <head>
	<title>NISRA</title>
    </head>
    <body>
        <!-- 我是註解~~~ -->
    </body>
</html>

常用的標籤

網頁超連結
<a href="http://www.nisra.net/">NISRA</a>

圖片
<img src="https://cimg.applefile.com/2018/07/15/cnVkZm9hcGZoZF8xNTMxNjQzOTc0.jpg" alt="血小板">

試試看寫個網頁出來吧

JavaScript是什麼?

一種直譯式語言
可直接寫入HTML語法中

用處

對瀏覽器事件做出回應
在資料被提交到伺服器前做驗證
檢查訪客瀏覽器資訊
控制Cookie的建立及修改

試試看用一張圖片來觸發JavaScript吧~

網址也可以觸發JavaScript喔!!!

XSS是什麼?

跨網站腳本攻擊

Cross

Site

Script

跨網站腳本攻擊

Cross

Site

Script

Xross ???

攻擊類型

Reflected
Stored
DOM-Based

攻擊效果

提權
取得機敏資料
使用者的Cookie或Session

It's Your Turn!

https://xss-game.appspot.com/

練習網站

Lv. 1

Hint :

試試看有沒有最基本的插入語法

Lv. 2

Hint :

留言板可以放什麼檔案呢

Lv. 3

Hint :

點圖片注意看網址

Lv. 4

Hint :

去

--> Timer.html <--

挖寶

Lv. 5

Hint :

網址網址網址

可以幹嘛

Lv. 6

Hint :

從外部導入Javascript

如何防範XSS?

不信任使用者輸入的資料
將有可能注入的特殊符號encoding

The End

[20181003] NISRA - OWASP XSS

By Chess Kuo

[20181003] NISRA - OWASP XSS

Chess Kuo

blog.chesskuo.tw

OWASP - XSS

by Chess

網頁組成

HTML

JavaScript

CSS

骨頭

肌肉

衣服

身份辨識

Session & Cookie

HTML是什麼?

Hyper

Text

Markup

Language

超文件標記語言

基本語法

常用的標籤

試試看寫個網頁出來吧

JavaScript是什麼?

一種直譯式語言

可直接寫入HTML語法中

用處

對瀏覽器事件做出回應

在資料被提交到伺服器前做驗證

檢查訪客瀏覽器資訊

控制Cookie的建立及修改

試試看用一張圖片來觸發JavaScript吧~

網址也可以觸發JavaScript喔!!!

XSS是什麼?

跨網站腳本攻擊

Cross

Site

Script

跨網站腳本攻擊

Cross

Site

Script

Xross ???

攻擊類型

Reflected

Stored

DOM-Based

攻擊效果

提權

取得機敏資料

使用者的Cookie或Session

It's Your Turn!

https://xss-game.appspot.com/

練習網站

Lv. 1

Hint :

試試看有沒有最基本的插入語法

Lv. 2

Hint :

留言板可以放什麼檔案呢

Lv. 3

Hint :

點圖片注意看網址

Lv. 4

Hint :

去

--> Timer.html <--

挖寶

Lv. 5

Hint :

網址網址網址

可以幹嘛

Lv. 6

Hint :

從外部導入Javascript

如何防範XSS?

不信任使用者輸入的資料

將有可能注入的特殊符號encoding

The End

[20181003] NISRA - OWASP XSS

More from Chess Kuo