剧集
锁定权力室 - ECMA 脚本 5、冻结 DOM 和 XSS 的根除
替换为 Mario Heiderich
在过去十年中,跨网站脚本是无数演示文稿中的一个主题。 这种容易掌握但难以解决的问题一直在动摇网络,并给数十万的高流量和商业和政府网站造成了重大麻烦。 已深入开发和讨论缓解技术 - 从限制性内容筛选器、教育计划和培训开始,程序员的最佳做法和指南、代理筛选器等。 仍然 XSS 仍然是一个主要问题,远未得到解决。 Web 所依赖的多层模型会导致过于互惠,无法找到一种简单的治疗方法,而 DOM,因为实际受影响的层仍在为攻击者打开不受保护。 此演示介绍了并讨论一种通过利用 ECMA 脚本 5 规范草案中包含的多项新功能来遇到 XSS 和类似攻击技术的新方法。 它将展示如何创建一个简单的 JavaScript 来密封重要的 DOM 属性,并带走攻击者以防篡改和轻量的方式读取和修改敏感数据的能力,而无需“太大声”。 新式浏览器(如 Chrome 8 和 Firefox 4)首次提供创建和使用客户端 IDS/IPS 系统、用 JavaScript 编写且无需特殊执行特权运行的可能性。 演示将展示这些攻击的工作原理、影响是什么,以及 XSS 缓解和根除的未来可能是什么样子。
在过去十年中,跨网站脚本是无数演示文稿中的一个主题。 这种容易掌握但难以解决的问题一直在动摇网络,并给数十万的高流量和商业和政府网站造成了重大麻烦。 已深入开发和讨论缓解技术 - 从限制性内容筛选器、教育计划和培训开始,程序员的最佳做法和指南、代理筛选器等。 仍然 XSS 仍然是一个主要问题,远未得到解决。 Web 所依赖的多层模型会导致过于互惠,无法找到一种简单的治疗方法,而 DOM,因为实际受影响的层仍在为攻击者打开不受保护。 此演示介绍了并讨论一种通过利用 ECMA 脚本 5 规范草案中包含的多项新功能来遇到 XSS 和类似攻击技术的新方法。 它将展示如何创建一个简单的 JavaScript 来密封重要的 DOM 属性,并带走攻击者以防篡改和轻量的方式读取和修改敏感数据的能力,而无需“太大声”。 新式浏览器(如 Chrome 8 和 Firefox 4)首次提供创建和使用客户端 IDS/IPS 系统、用 JavaScript 编写且无需特殊执行特权运行的可能性。 演示将展示这些攻击的工作原理、影响是什么,以及 XSS 缓解和根除的未来可能是什么样子。
想提供反馈? 在此处提交问题。