Re: [心得] 今天去OWASP的心得
※ 引述《TonyQ (骨頭)》之銘言:
: OWASP(open web application security project)
: 也就是 http://www.owasp.org.tw/owasp_asia_2007/
: 之前就一直對 web 上資安的問題很有興趣,
: 如 SQL Injection 的問題早在三四年前就聽過有很慘痛的案例,
: 這次難得有這個免費的機會能略探究竟,就從桃園北上聽講囉~
: ────────────────────────────────
本人對於最後提到的PHP(?)的四個安全漏洞感到有興趣
希望大家能有去聽的能說明一下最後那四個資訊安全議題的內容...
(因為我英文聽力也許也不怎麼好>"<)
1.Cross-site scripting (XSS)
我只聽到用get傳送語法後面加一串alert(XXX)然後
cookie的內容就出來了...(我想知道使用方法...)
2.忘了叫什麼印象中是
<input type="text" value=""onMouseOut=" ">
(亮色部份是被插入的語法)
3.SQL Injection
這個記得最清楚啦,本人有切身之痛= =
主辦人舉例是一個利用網頁exec()對執行檔的帳號密碼登入
然後被修改成加入新的帳號的指令
而我之前遇到的是被帳號密碼輸入SQL語法' or a='a就被成功登入
因為之前偷懶寫資料庫有值出現就放行= =
4.pfishing
據我了解是利用javascript手法把iframe嵌入網頁中
所以被攻擊的網頁會出現你想出現的任何頁面
個人覺得以上1 2 4個可能錯很大
如果版主覺得不妥我就自刪
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.64.141.184
討論串 (同標題文章)
Soft_Job 近期熱門文章
PTT職涯區 即時熱門文章
