Оцените презентацию от 1 до 5 баллов!
Тип файла:
ppt / pptx (powerpoint)
Всего слайдов:
18 слайдов
Для класса:
1,2,3,4,5,6,7,8,9,10,11
Размер файла:
322.73 kB
Просмотров:
104
Скачиваний:
4
Автор:
неизвестен
Слайды и текст к этой презентации:
№1 слайд![Лекция XSS Подготовил Дмитрий](/documents_6/35e30fdad54016eaa9daf647c85548b6/img0.jpg)
Содержание слайда: Лекция №2 XSS
Подготовил: Дмитрий Муковкин
№2 слайд![Отказ от ответственности](/documents_6/35e30fdad54016eaa9daf647c85548b6/img1.jpg)
Содержание слайда: Отказ от ответственности
Информация предоставлена исключительно в ознакомительных целях.
Всю ответственность за использование и применение полученных знаний каждый участник берет на себя
№3 слайд![Содержание HTML Javascript](/documents_6/35e30fdad54016eaa9daf647c85548b6/img2.jpg)
Содержание слайда: Содержание
HTML
Javascript
XSS
Практика
№4 слайд![HTML HTML HyperText Markup](/documents_6/35e30fdad54016eaa9daf647c85548b6/img3.jpg)
Содержание слайда: HTML
HTML (HyperText Markup Language, язык разметки гипертекста) — это система верстки, которая определяет, как и какие элементы должны располагаться на веб-странице.
№5 слайд![Консоль разработчика F](/documents_6/35e30fdad54016eaa9daf647c85548b6/img4.jpg)
Содержание слайда: Консоль разработчика (F12)
Доступна на Chrome подобных браузерах и Firefox
Инструмент, позволяющий получать массу полезной информации о выполнении скриптов, в браузере.
Чтобы ее открыть необходимо на странице нажать F12
№6 слайд![Что можно узнать в консоли](/documents_6/35e30fdad54016eaa9daf647c85548b6/img5.jpg)
Содержание слайда: Что можно узнать в консоли
ВСЕ!!!
Элементы
Сеть
Консоль
Профилировщик
№7 слайд![Задание Открываем любой сайт](/documents_6/35e30fdad54016eaa9daf647c85548b6/img6.jpg)
Содержание слайда: Задание №1
Открываем любой сайт
Вызываем консоль разработчика
Изучаем
Какие запросы отправляет сайт во время работы
Какие стили применяются в HTML элементах
Какие сообщения выдаются в консоли
№8 слайд![JavaScript lt script type](/documents_6/35e30fdad54016eaa9daf647c85548b6/img7.jpg)
Содержание слайда: JavaScript
<script type="text/javascript">….</script>
№9 слайд![Cookie от англ. cookie](/documents_6/35e30fdad54016eaa9daf647c85548b6/img8.jpg)
Содержание слайда: Cookie
(от англ. cookie — печенье) — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Веб-клиент (обычно веб-браузер) всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса.
№10 слайд![Где применяются Применяется](/documents_6/35e30fdad54016eaa9daf647c85548b6/img9.jpg)
Содержание слайда: Где применяются
Применяется для сохранения данных на стороне пользователя, на практике обычно используется для:
аутентификации пользователя;
хранения персональных предпочтений и настроек пользователя;
отслеживания состояния сеанса доступа пользователя;
ведения статистики о пользователях.
№11 слайд![Как получить cookie Для](/documents_6/35e30fdad54016eaa9daf647c85548b6/img10.jpg)
Содержание слайда: Как получить cookie
Для чтения и записи cookie используется свойство document.cookie. Однако, оно представляет собой не объект, а строку в специальном формате, для удобной манипуляций с которой нужны дополнительные функции.
<script>alert( document.cookie );</script>
№12 слайд![Итак, начнем! Заходим на сайт](/documents_6/35e30fdad54016eaa9daf647c85548b6/img11.jpg)
Содержание слайда: Итак, начнем!
Заходим на сайт http://cources.keva.su
Пробуем получить куки на странице XSS
№13 слайд![XSS XSS англ. Сross Site](/documents_6/35e30fdad54016eaa9daf647c85548b6/img12.jpg)
Содержание слайда: XSS
XSS (англ. Сross Site Sсriрting— «межсайтовый скриптинг») - тип уязвимости интерактивных информационных систем в вебе. XSS возникает, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера они используют уязвимый сервер в качестве средства атаки на клиента.
№14 слайд![Угрозы Реальные угрозы](/documents_6/35e30fdad54016eaa9daf647c85548b6/img13.jpg)
Содержание слайда: Угрозы
Реальные угрозы:
Воровство cookie
DoS атаки
Атаки на браузер пользователя, воровство данных
Выполнение произвольных действий на сайте под учетной записью пользователя
№15 слайд![Виды XSS Пассивные Пассивные](/documents_6/35e30fdad54016eaa9daf647c85548b6/img14.jpg)
Содержание слайда: Виды XSS
Пассивные
Пассивные XSS подразумевают, что скрипт не хранится на сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS требуется некое дополнительное действие, которое должен выполнить браузер жертвы (например, клик по специально сформированной ссылке). Их также называют первым типом XSS
Активные
При активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы при открытии какой-либо страницы заражённого сайта. Их также называют вторым типом XSS.
DOM XSS
№16 слайд![Почему так происходит](/documents_6/35e30fdad54016eaa9daf647c85548b6/img15.jpg)
Содержание слайда: Почему так происходит
Отсутствие экранирования спецсимволов HTML;
Отсутствие фильтрации атрибутов и их значений в разрешённых тегах;
Подмена кодировки в заголовке страницы.
№17 слайд![Как защититься Заменять](/documents_6/35e30fdad54016eaa9daf647c85548b6/img16.jpg)
Содержание слайда: Как защититься
Заменять спецсимволы на сервере;
Заменять спецсимволы на клиенте.
№18 слайд![Проверим свои силы Заходим на](/documents_6/35e30fdad54016eaa9daf647c85548b6/img17.jpg)
Содержание слайда: Проверим свои силы
Заходим на сайт http://cources.keva.su
Пробуем выполнить задания на странице XSS