際際滷

際際滷Share a Scribd company logo

5494 n nikolov_zashtita_ppt

Nikolai Nikolov
Nikolai Nikolov
1 of 15
Download to read offline
舒亳舒 仆舒 Web 仗亳仍仂亢亠仆亳 Cross Site Scripting, SQL Injection 亰亞仂于亳仍: 亳从仂仍舒亶 亳从仂仍仂于 亳仍仂亢仆舒 亳仆仂仄舒亳从舒 VII 从, I 亞., 个 5494
Web 仗亳仍仂亢亠仆亳 Web 舒亶仂于亠 Web 仗亳仍仂亢亠仆亳舒 - 仗仂亠 仆舒 于于亠亢亟舒仆亠, 仂弍舒弍仂于舒仆亠 亳 亰舒仗舒亰于舒仆亠 仆舒 亳仆仂仄舒亳舒 亠 亳亰于于舒 于 仍仂弍舒仍仆舒舒 仄亠亢舒 亠亟亳仄于舒 仍亠亠仆 亟仂仗, 仗仂仂礌仆舒 舒从亳于仆仂 (24/7), 于亳仂从仂 仆亳于仂 仆舒 亳亞仆仂 仆舒 于亳亠, 舒亰仆仂仂弍舒亰亳亠 仂 仄仂亟仍亳 亰舒 仗舒于仍亠仆亳亠 仆舒 亟舒仆仆亳亠, 亟仂仗仆亳 亠仆亳
Web 仗亳仍仂亢亠仆亳 亠亟仂舒亳 - 仗磻舒舒 亰舒于亳亳仄仂 仆舒 亳亠仄舒舒 亰舒 仗舒于仍亠仆亳亠 仂 仆亠仆亠-于亰从舒舒, 仆舒仂于舒于舒仆亠仂 仆舒 于舒, 从亟亠仂 亠 仆舒仄亳舒 仗亳仍仂亢亠仆亳亠仂 亳仍亳 从亟亠仂 亠 亰舒仗亳于舒 亳仆仂仄舒亳舒, 于亰仄仂亢仆仂舒 亰舒 仗仂磦舒 仆舒 仆亠仗仂亰于仂仍亠仆亳 亟亠亶于亳 仂 舒仆舒 仆舒 仆磻仂亳 仗仂亠弍亳亠仍亳 仗礆仂 亳亠仄舒舒 舒从亳 - a仍亳于亳 HTTP 亰a磦从亳, brute-force aa从亳, 仗y弍仍亳仆o 亳亰仍a亞a仆e 仆a 从o亟, o从pa亟于a仆e (亳从c亳pa仆e) 仆a cec亳, MySQL Injection 亳 XSS
Cross Site Script (XSS) 舒舒从亳 舒从舒, 从仂仂 亳亰仗仂仍亰于舒 磶于亳仄仂 仆舒 仗亳仍仂亢亠仆亳亠仂 亳 于仄从于舒 仆亠亢亠仍舒仆 从仂亟, 从仂亶仂 亠 亳亰仗仍仆磦舒 于 弍舒亰舒 仆舒 从舒亶仆亳 仗仂亠弍亳亠仍. 亳亟仂于亠 XSS 舒舒从亳: 亳亠从仆亳: 舒从于舒亳 仗亠亟仂舒于 于亰从舒 亳仍亳 亟亞 于亳亟 仄舒从亳舒仆 从仂亟 从仄 从仍亳亠仆舒. 弌舒亳仆亳: 亠亢亠仍舒仆亳 从仂亟 亠 于仄从于舒 于 弍舒亰舒舒 亟舒仆仆亳 仍亠亟 从仂亠仂 亠 亳亰舒于从舒 磶于亳仄舒舒 舒仆亳舒 亟舒 弍亟亠 仂于仂亠仆舒. DOM: 丐仂于舒 舒 XSS 舒舒从亳 仂 .仆舒. 仍仂从舒仍仆仂 仆亳于仂.
舒亳舒 仂 XSS 舒舒从亳 亳从仂亞舒 仆亠 磡于舒 亟舒 亠 于于舒仄亠 仆舒 仗仂亠弍亳亠仍亳亠 仆舒 亟舒亟亠仆 舒亶. 仂亟亳亠 亟舒仆仆亳 磡于舒 亟舒 弍亟舒 亳仍亳舒仆亳. 仗亠亟亠仍亠仆亳 亰仆舒亳 亠 仗亠于仍 于 仂于亠仆亳亠 亳仄 HTML entry: & -> &amp; < -> &lt; > -> &gt; -> &quot; -> &#x27; / -> &#x2F;
舒亳舒 仂 XSS 舒舒从亳 亠 仍舒亞舒亶亠 仍亳仆亳 亟舒仆仆亳 亳 从仂仄亠仆舒亳 仆舒 亠亟仆舒 舒仆亳舒 HTTPOnly 仍舒亞 仆舒 弍亳从于亳从亳亠 舒 IP 仆亠 仄仂亢亠 亟舒 亠 舒亰亳舒
XSS 舒从舒-仗亳仄亠亠仆 从仂亟 仂亟 仆舒 仆舒舒舒 舒舒从舒, 从仂亶仂 仄仂亢亠 亟舒 亠 仗仂舒于亳 于 从仂亠仂 亳 亟舒 亠 仂 亠从仂于仂 仗仂仍亠舒: <div style="text-align: center;"><p style="font-family: Verdana; font-style: normal; font-variant: normal; font-weight: bold; font-size: 36px; line-height: normal; font-size-adjust: none; font-stretch: normal; color: rgb(255, 0, 0);">This page has been Hacked!</p><img src=/slideshow/5494-n-nikolovzashtitappt/16130473/"http:/ha.ckers.org/images/stallowned.jpg" border="0"><p style="font-family: Arial; font-style: italic; font-variant: normal; font-weight: normal; font-size: 12px; line-height: normal; font-size-adjust: none; font-stretch: normal; color: rgb(221, 221, 221);">XSS Defacement</p></div>
XSS 舒从舒 - 亠亰仍舒
舒亳舒 仂 SQL Injection SQLi 亠 亳亰仗仂仍亰于舒 亰舒 亰仍仂仆舒仄亠亠仆仂 亳亰仗仍仆亠仆亳亠 仆舒 SQL 亰舒磦从舒 从仄 弍舒亰舒舒 亟舒仆仆亳. SQL 亳仆亢e从亳pa仆eo e 仆a亶-eco cpea仆aa y磶于亳仄oc 于 PHP 仗p亳仍o亢e仆亳a.
亳仄亠 - 舒舒从舒 弌从p亳仗 亰a 于xo亟 于 c亳ce仄aa 亳仄a c亳仆a从c亳c o po亟a: $sql = "SELECT * FROM users WHERE username = '$user' AND password = '$pass'". A从o 从仄 a亰亳 亰a磦从a 仆apy亳e仍 仗o亟a亟e e亟亳仆亳仆a 从舒于亳从舒 亰a 仗ope弍亳e仍c从o 亳仄e 亳 仗po亳亰于o仍仆a 仗apo仍a, 亰a磦从aa e 于p仆e c仍e亟仆aa 亞pe从a: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE username = ' ' ' AND password = 'sometext
舒亳舒 SQL 亳仆亢e从亳pa仆eo 仄仂亢亠 亟舒 弍亟亠 亳亰弍亠亞仆舒仂. c亳从亳 仗po仄e仆仍亳于亳, 从o亳o ce 于从ap于a 于 e亟仆a MySQL 亰a磦从a, p磡于a 亟a 弍亟a 亳仍p亳pa仆亳 c y仆从亳a mysql_real_escape_string(). B 亞op仆亳 仗p亳仄ep, o于a ca 仗po仄e仆仍亳于亳e $user 亳 $pass. C亳仆a从c亳c e 从舒从仂 c仍e亟于a: $user = mysql_real_escape_string($user) 亳 a从a 亰a $pass.
舒亳仆亳 仆从亳亳 htmlspecialchars() - 仗亠仂弍舒亰于舒 仗亠亳舒仍仆亳 亰仆舒亳 于 html 亠亟亳仆亳亳 addslashes() - 亠从舒仆亳舒 仗亠亳舒仍仆亳亠 亰仆舒亳 仆舒 亟舒亟亠仆 亳仆亞 trim() - 仗亠仄舒于舒 亰仆舒亳 于 仆舒舒仍仂仂 亳 从舒 仆舒 亟舒亟亠仆 亳仆亞 htmlentities() - 仗亠仂弍舒亰于舒 于亳从亳 仗仂亟仂亟亳 亰仆舒亳 于 HTML 亠亟亳仆亳亳 亳 亠 .. 仂亟仆舒 htmlspecialchars();
仂仗仍仆亳亠仍仆舒 亰舒亳舒 仂亢亠 亟舒 弍亟亠 仆舒仗亳舒仆 仆舒 从亳仗, 从仂亶仂 仗仂于亠磦舒 亰舒 亞亠仆亳 仗舒仂仍亳 - 仗亳 3 亞亠仆亳 仂仗亳舒 亰舒 于仂亟 亞亠仆舒 仗舒仂仍舒 于 弍舒亰舒舒 亟舒仆仆亳, 舒从舒仆舒 亠 亰舒从仍ム于舒 亰舒 仂仗亠亟亠仍亠仆仂 于亠仄亠.
亳亳仆亳 亰舒 磶于亳仄仂亳 从仄 SQLi 亠亰 亳仍亳舒仆亠 仆舒 于仂亟亳亠 亟舒仆仆亳 丕磶于亳仄仂 于 于舒 仆舒 弍舒亰舒舒 亟舒仆仆亳
亠仂亟亳 亰舒 亰舒亳舒 仂 SQLi 个亳仍亳舒仆亠 仆舒 亟舒仆仆亳亠 亰从仍ム于舒仆亠 仆舒 亟仂从仍舒亟亳亠 亰舒 亞亠从亳. 弌亰亟舒于舒仆亠 仆舒 仗仂亠弍亳亠仍, 仗仂-仄舒仍从仂 仗亳于亳仍亠亞亳亳. 舒从亳仄舒仍仆舒 仂亶仆仂

More Related Content

5494 n nikolov_zashtita_ppt

  • 1. 舒亳舒 仆舒 Web 仗亳仍仂亢亠仆亳 Cross Site Scripting, SQL Injection 亰亞仂于亳仍: 亳从仂仍舒亶 亳从仂仍仂于 亳仍仂亢仆舒 亳仆仂仄舒亳从舒 VII 从, I 亞., 个 5494
  • 2. Web 仗亳仍仂亢亠仆亳 Web 舒亶仂于亠 Web 仗亳仍仂亢亠仆亳舒 - 仗仂亠 仆舒 于于亠亢亟舒仆亠, 仂弍舒弍仂于舒仆亠 亳 亰舒仗舒亰于舒仆亠 仆舒 亳仆仂仄舒亳舒 亠 亳亰于于舒 于 仍仂弍舒仍仆舒舒 仄亠亢舒 亠亟亳仄于舒 仍亠亠仆 亟仂仗, 仗仂仂礌仆舒 舒从亳于仆仂 (24/7), 于亳仂从仂 仆亳于仂 仆舒 亳亞仆仂 仆舒 于亳亠, 舒亰仆仂仂弍舒亰亳亠 仂 仄仂亟仍亳 亰舒 仗舒于仍亠仆亳亠 仆舒 亟舒仆仆亳亠, 亟仂仗仆亳 亠仆亳
  • 3. Web 仗亳仍仂亢亠仆亳 亠亟仂舒亳 - 仗磻舒舒 亰舒于亳亳仄仂 仆舒 亳亠仄舒舒 亰舒 仗舒于仍亠仆亳亠 仂 仆亠仆亠-于亰从舒舒, 仆舒仂于舒于舒仆亠仂 仆舒 于舒, 从亟亠仂 亠 仆舒仄亳舒 仗亳仍仂亢亠仆亳亠仂 亳仍亳 从亟亠仂 亠 亰舒仗亳于舒 亳仆仂仄舒亳舒, 于亰仄仂亢仆仂舒 亰舒 仗仂磦舒 仆舒 仆亠仗仂亰于仂仍亠仆亳 亟亠亶于亳 仂 舒仆舒 仆舒 仆磻仂亳 仗仂亠弍亳亠仍亳 仗礆仂 亳亠仄舒舒 舒从亳 - a仍亳于亳 HTTP 亰a磦从亳, brute-force aa从亳, 仗y弍仍亳仆o 亳亰仍a亞a仆e 仆a 从o亟, o从pa亟于a仆e (亳从c亳pa仆e) 仆a cec亳, MySQL Injection 亳 XSS
  • 4. Cross Site Script (XSS) 舒舒从亳 舒从舒, 从仂仂 亳亰仗仂仍亰于舒 磶于亳仄仂 仆舒 仗亳仍仂亢亠仆亳亠仂 亳 于仄从于舒 仆亠亢亠仍舒仆 从仂亟, 从仂亶仂 亠 亳亰仗仍仆磦舒 于 弍舒亰舒 仆舒 从舒亶仆亳 仗仂亠弍亳亠仍. 亳亟仂于亠 XSS 舒舒从亳: 亳亠从仆亳: 舒从于舒亳 仗亠亟仂舒于 于亰从舒 亳仍亳 亟亞 于亳亟 仄舒从亳舒仆 从仂亟 从仄 从仍亳亠仆舒. 弌舒亳仆亳: 亠亢亠仍舒仆亳 从仂亟 亠 于仄从于舒 于 弍舒亰舒舒 亟舒仆仆亳 仍亠亟 从仂亠仂 亠 亳亰舒于从舒 磶于亳仄舒舒 舒仆亳舒 亟舒 弍亟亠 仂于仂亠仆舒. DOM: 丐仂于舒 舒 XSS 舒舒从亳 仂 .仆舒. 仍仂从舒仍仆仂 仆亳于仂.
  • 5. 舒亳舒 仂 XSS 舒舒从亳 亳从仂亞舒 仆亠 磡于舒 亟舒 亠 于于舒仄亠 仆舒 仗仂亠弍亳亠仍亳亠 仆舒 亟舒亟亠仆 舒亶. 仂亟亳亠 亟舒仆仆亳 磡于舒 亟舒 弍亟舒 亳仍亳舒仆亳. 仗亠亟亠仍亠仆亳 亰仆舒亳 亠 仗亠于仍 于 仂于亠仆亳亠 亳仄 HTML entry: & -> &amp; < -> &lt; > -> &gt; -> &quot; -> &#x27; / -> &#x2F;
  • 6. 舒亳舒 仂 XSS 舒舒从亳 亠 仍舒亞舒亶亠 仍亳仆亳 亟舒仆仆亳 亳 从仂仄亠仆舒亳 仆舒 亠亟仆舒 舒仆亳舒 HTTPOnly 仍舒亞 仆舒 弍亳从于亳从亳亠 舒 IP 仆亠 仄仂亢亠 亟舒 亠 舒亰亳舒
  • 7. XSS 舒从舒-仗亳仄亠亠仆 从仂亟 仂亟 仆舒 仆舒舒舒 舒舒从舒, 从仂亶仂 仄仂亢亠 亟舒 亠 仗仂舒于亳 于 从仂亠仂 亳 亟舒 亠 仂 亠从仂于仂 仗仂仍亠舒: <div style="text-align: center;"><p style="font-family: Verdana; font-style: normal; font-variant: normal; font-weight: bold; font-size: 36px; line-height: normal; font-size-adjust: none; font-stretch: normal; color: rgb(255, 0, 0);">This page has been Hacked!</p><img src=/slideshow/5494-n-nikolovzashtitappt/16130473/"http:/ha.ckers.org/images/stallowned.jpg" border="0"><p style="font-family: Arial; font-style: italic; font-variant: normal; font-weight: normal; font-size: 12px; line-height: normal; font-size-adjust: none; font-stretch: normal; color: rgb(221, 221, 221);">XSS Defacement</p></div>
  • 8. XSS 舒从舒 - 亠亰仍舒
  • 9. 舒亳舒 仂 SQL Injection SQLi 亠 亳亰仗仂仍亰于舒 亰舒 亰仍仂仆舒仄亠亠仆仂 亳亰仗仍仆亠仆亳亠 仆舒 SQL 亰舒磦从舒 从仄 弍舒亰舒舒 亟舒仆仆亳. SQL 亳仆亢e从亳pa仆eo e 仆a亶-eco cpea仆aa y磶于亳仄oc 于 PHP 仗p亳仍o亢e仆亳a.
  • 10. 亳仄亠 - 舒舒从舒 弌从p亳仗 亰a 于xo亟 于 c亳ce仄aa 亳仄a c亳仆a从c亳c o po亟a: $sql = "SELECT * FROM users WHERE username = '$user' AND password = '$pass'". A从o 从仄 a亰亳 亰a磦从a 仆apy亳e仍 仗o亟a亟e e亟亳仆亳仆a 从舒于亳从舒 亰a 仗ope弍亳e仍c从o 亳仄e 亳 仗po亳亰于o仍仆a 仗apo仍a, 亰a磦从aa e 于p仆e c仍e亟仆aa 亞pe从a: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE username = ' ' ' AND password = 'sometext
  • 11. 舒亳舒 SQL 亳仆亢e从亳pa仆eo 仄仂亢亠 亟舒 弍亟亠 亳亰弍亠亞仆舒仂. c亳从亳 仗po仄e仆仍亳于亳, 从o亳o ce 于从ap于a 于 e亟仆a MySQL 亰a磦从a, p磡于a 亟a 弍亟a 亳仍p亳pa仆亳 c y仆从亳a mysql_real_escape_string(). B 亞op仆亳 仗p亳仄ep, o于a ca 仗po仄e仆仍亳于亳e $user 亳 $pass. C亳仆a从c亳c e 从舒从仂 c仍e亟于a: $user = mysql_real_escape_string($user) 亳 a从a 亰a $pass.
  • 12. 舒亳仆亳 仆从亳亳 htmlspecialchars() - 仗亠仂弍舒亰于舒 仗亠亳舒仍仆亳 亰仆舒亳 于 html 亠亟亳仆亳亳 addslashes() - 亠从舒仆亳舒 仗亠亳舒仍仆亳亠 亰仆舒亳 仆舒 亟舒亟亠仆 亳仆亞 trim() - 仗亠仄舒于舒 亰仆舒亳 于 仆舒舒仍仂仂 亳 从舒 仆舒 亟舒亟亠仆 亳仆亞 htmlentities() - 仗亠仂弍舒亰于舒 于亳从亳 仗仂亟仂亟亳 亰仆舒亳 于 HTML 亠亟亳仆亳亳 亳 亠 .. 仂亟仆舒 htmlspecialchars();
  • 13. 仂仗仍仆亳亠仍仆舒 亰舒亳舒 仂亢亠 亟舒 弍亟亠 仆舒仗亳舒仆 仆舒 从亳仗, 从仂亶仂 仗仂于亠磦舒 亰舒 亞亠仆亳 仗舒仂仍亳 - 仗亳 3 亞亠仆亳 仂仗亳舒 亰舒 于仂亟 亞亠仆舒 仗舒仂仍舒 于 弍舒亰舒舒 亟舒仆仆亳, 舒从舒仆舒 亠 亰舒从仍ム于舒 亰舒 仂仗亠亟亠仍亠仆仂 于亠仄亠.
  • 14. 亳亳仆亳 亰舒 磶于亳仄仂亳 从仄 SQLi 亠亰 亳仍亳舒仆亠 仆舒 于仂亟亳亠 亟舒仆仆亳 丕磶于亳仄仂 于 于舒 仆舒 弍舒亰舒舒 亟舒仆仆亳
  • 15. 亠仂亟亳 亰舒 亰舒亳舒 仂 SQLi 个亳仍亳舒仆亠 仆舒 亟舒仆仆亳亠 亰从仍ム于舒仆亠 仆舒 亟仂从仍舒亟亳亠 亰舒 亞亠从亳. 弌亰亟舒于舒仆亠 仆舒 仗仂亠弍亳亠仍, 仗仂-仄舒仍从仂 仗亳于亳仍亠亞亳亳. 舒从亳仄舒仍仆舒 仂亶仆仂