Upload
cindy
View
67
Download
0
Embed Size (px)
DESCRIPTION
XSS&Phishing 2011.6.29. xss简介. 跨站脚本攻击(Cross Site Scripting) 攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入Web里面的html代码会在用户客户端被执行,从而达到恶意用户的特殊目的。 OWASP top10 仅次于注入. xss危害. 窃取使用者COOKIE,获取用户个人资料 假冒用户身份,获得访问授权 将用户浏览器导向钓鱼网站,骗取用户密码等敏感信息 将用户浏览器导向挂马网站,安装木马后门等. xss分类. 存储式XSS 反射式XSS 基于DOM的XSS. 存储型XSS. - PowerPoint PPT Presentation
Citation preview
XSS&Phishing
2011.6.29
XSS&XSS&PhishingPhishing
xssxss 简介简介
跨站脚本攻击 (Cross Site Scripting) 攻击者往 Web 页面里插入恶意 html 代
码,当用户浏览该页之时,嵌入 Web里面的 html 代码会在用户客户端被执行,从而达到恶意用户的特殊目的。
OWASP top10 仅次于注入
XSS&XSS&PhishingPhishing
xssxss 危害危害
窃取使用者 COOKIE ,获取用户个人资料
假冒用户身份,获得访问授权 将用户浏览器导向钓鱼网站,骗取用户
密码等敏感信息 将用户浏览器导向挂马网站,安装木马
后门等
XSS&XSS&PhishingPhishing
xssxss 分类分类
存储式 XSS 反射式 XSS 基于 DOM 的 XSS
XSS&XSS&PhishingPhishing
存储型 XSS
MySpace.com Samy XSS 蠕虫
XSS&XSS&PhishingPhishing
反射型 XSS
XSS&XSS&PhishingPhishing
基于 DOM 的 XSS
http://www.DBXSS.com/welcome.html?name=zhangsan
<SCRIPT> var pos=docmnent.URL.indexOf("name=")+5; document.write (document.URL.substring(pos,d
ocument.URL.1ength));< /SCRIPT> http://www.DBXSS.com/welcome.html?name=<
script>alert("XSS")</script>
XSS&XSS&PhishingPhishing
xssxss 的防范的防范 在输入方面对所有用户提交内容进行可
靠的输入验证,提交内容包括 URL 、查询关键字、 http 头、 post 数据等
在输出方面,在用户输内容中使用 <XMP> 标签。标签内的内容不会解释,直接显示
严格执行字符输入字数控制 在脚本执行区中,不应有用户的输入
XSS&XSS&PhishingPhishing
What is Phishing?What is Phishing?
fishing 攻击者通过社会工程学或技术手段利用
伪造的 Web 站点来进行诈骗的网络行为
Anti-Phishing Working Group (APWG) www.antiphishing.org
目前有超过 1800 个公司和政府机构加入APWG
XSS&XSS&PhishingPhishing
网络钓鱼的现状网络钓鱼的现状
网络钓鱼现状
XSS&XSS&PhishingPhishing
钓鱼方式钓鱼方式 通过聊天工具发送钓鱼链接 在搜索引擎、中小网站投放广告,吸引
用户点击钓鱼网站 通过 Email 、论坛、博客、微博等批量
发布钓鱼网站链接 仿冒邮件,例如银行密码重置 病毒木马、流氓软件弹窗 伪装成用户输入网址时易发生的错误,
如 gogle. com
XSS&XSS&PhishingPhishing
案例案例
XSS&XSS&PhishingPhishing
案例案例
XSS&XSS&PhishingPhishing
与搜索引擎的关系
竞价排名 钓鱼网站甚至排到正规网站之前 用户疏忽或缺乏分辨能力 个人认为,搜索引擎应负有直接责任
XSS&XSS&PhishingPhishing
网络钓鱼的防范
完善相关法律 技术防护 ( 软件过滤、黑名单 ) 安全教育
相关学习• Mitnick & Simon “The Art of Deception”
(Wiley)
• Jakobsson & Myers “Phishing and Anti-phishing” (Wiley, mid ‘06)
XSS&XSS&PhishingPhishing
Thank youThank you
Questions?Questions?