Веб-страницы
<<  Microsoft Lync 2010 Web App Training Сервисы Веб 2.0 в практике работы педагога  >>
Картинок нет
Картинки из презентации «Sergey Belov - web app security» к уроку информатики на тему «Веб-страницы»

Автор: BeLove. Чтобы познакомиться с картинкой полного размера, нажмите на её эскиз. Чтобы можно было использовать все картинки для урока информатики, скачайте бесплатно презентацию «Sergey Belov - web app security.pptx» со всеми картинками в zip-архиве размером 69 КБ.

Sergey Belov - web app security

содержание презентации «Sergey Belov - web app security.pptx»
Сл Текст Сл Текст
1Sergey Belov - web app security. ~ 2 9<style>...NEVER PUT UNTRUSTED DATA
years in Bitworks (Mojiva) CTF member – HERE...</style> directly in CSS.
SiBears, [TechnoPandas] habrahabr.ru / 10RULE #1 - HTML Escape Before Inserting
“Xakep” magazine Google, VK, Topface, Untrusted Data into HTML Element Content.
kinopoisk, Yandex (bug bounty member) and <body>...ESCAPE UNTRUSTED DATA
100+ twitter.com/sergeybelove. BEFORE PUTTING HERE...</body>
2Cross Site Scripting (XSS). (вики) XSS <div>...ESCAPE UNTRUSTED DATA BEFORE
(англ. Сross Site Sсriрting — «межсайтовый PUTTING HERE...</div> any other
скриптинг») тип уязвимости интерактивных normal HTML elements.
информационных систем в вебе. XSS 11RULE #2 - Attribute Escape Before
возникает, когда в генерируемые сервером Inserting Untrusted Data into HTML Common
страницы по какой-то причине попадают Attributes. <div attr=...ESCAPE
пользовательские скрипты. Специфика UNTRUSTED DATA BEFORE PUTTING
подобных атак заключается в том, что HERE...>content</div> inside
вместо непосредственной атаки сервера они UNquoted attribute <div attr='...ESCAPE
используют уязвимый сервер в качестве UNTRUSTED DATA BEFORE PUTTING
средства атаки на клиента. Реальные HERE...'>content</div> inside
угрозы: Воровство cookie DoS атаки Атаки single quoted attribute <div
на браузер пользователя, воровство данных attr="...ESCAPE UNTRUSTED DATA BEFORE
Выполнение произвольных действий на сайте PUTTING
под учетной записью пользователя. HERE...">content</div>
3Виды XSS. Пассивные Пассивные XSS inside double quoted attribute.
подразумевают, что скрипт не хранится на 12RULE #3 - JavaScript Escape Before
сервере уязвимого сайта, либо он не может Inserting Untrusted Data into JavaScript
автоматически выполниться в браузере Data Values.
жертвы. Для срабатывания пассивной XSS <script>alert('...ESCAPE UNTRUSTED
требуется некое дополнительное действие, DATA BEFORE PUTTING
которое должен выполнить браузер жертвы HERE...')</script> inside a quoted
(например, клик по специально string <script>x='...ESCAPE
сформированной ссылке). Их также называют UNTRUSTED DATA BEFORE PUTTING
первым типом XSS. Активные При активных HERE...'</script> one side of a
XSS вредоносный скрипт хранится на quoted expression <div
сервере, и срабатывает в браузере жертвы onmouseover="x='...ESCAPE UNTRUSTED
при открытии какой-либо страницы DATA BEFORE PUTTING
заражённого сайта. Их также называют HERE...'"</div> inside quoted
вторым типом XSS. DOM XSS. event handler <script>
4Методы использования. Более window.setInterval('...EVEN IF YOU ESCAPE
менее-актуальные: Обычный, UNTRUSTED DATA YOU ARE XSSED HERE...');
непосредственная вставка HTML кода </script>
Использование DATA (base64) Менее 13RULE #4 - CSS Escape And Strictly
актуальные: Flash, Изображения TRACE, Validate Before Inserting Untrusted Data
UTF-7. into HTML Style Property Values.
5Подстановка HTML-кода. Форма: <style>selector { property :
<input type = “text”> Введенное ...ESCAPE UNTRUSTED DATA BEFORE PUTTING
значение: <h1>Hello!</h1> HERE...; } </style> property value
Должно быть на выходе (с фильтрацией) <style>selector { property :
&lt;h1&gt;test&lt;/h1&gt; "...ESCAPE UNTRUSTED DATA BEFORE
Без фильтрации (xss) PUTTING HERE..."; } </style>
<h1>Hello!</h1> property value <span
6data:text/html;base64, ... Требуется style="property : ...ESCAPE UNTRUSTED
поддержка браузером RFC 2397 Используется DATA BEFORE PUTTING
в основном в скриптах перенаправления HERE...">text</style>
Защита с преобразовыванием символов не property value.
спасает от уязвимости (архитектурный баг). 14{ background-url :
7Flash/Изображения. Flash: Требуеся "javascript:alert(1)"; } // and
возможность вставки .swf Использование JS all other URLs { text-size:
функций Изображения Особенность браузеров "expression(alert('XSS'))"; } //
обрабатывать js код в содержимом картинки only in IE.
(IE). 15RULE #5 - URL Escape Before Inserting
8UTF-7/Trace. UTF-7 Успех зависит от Untrusted Data into HTML URL Parameter
браузера <title> до установки Values. <a
charset Trace Зависит от конфигурации href="http://www.somesite.com?test=..
сервера. ESCAPE UNTRUSTED DATA BEFORE PUTTING
9RULE #0 - Never Insert Untrusted Data HERE...">link</a >
Except in Allowed Locations. 16RULE #6 - Sanitize HTML Markup with a
<script>...NEVER PUT UNTRUSTED DATA Library Designed for the Job -
HERE...</script> directly in a https://www.owasp.org/index.php/XSS_(Cross
script <!--...NEVER PUT UNTRUSTED DATA Site_Scripting)_Prevention_Cheat_Sheet
HERE...--> inside an HTML comment RULE #7 - Prevent DOM-based XSS -
<div ...NEVER PUT UNTRUSTED DATA https://www.owasp.org/index.php/DOM_based_
HERE...=test /> in an attribute name SS_Prevention_Cheat_Sheet.
<NEVER PUT UNTRUSTED DATA HERE... 17DEMO.
href="/test" /> in a tag name
Sergey Belov - web app security.pptx
http://900igr.net/kartinka/informatika/sergey-belov-web-app-security-224657.html
cсылка на страницу

Sergey Belov - web app security

другие презентации на тему «Sergey Belov - web app security»

«Технологии Web 2.0» - Создание публичных блогов, которые отражали бы мысли участников группы. Может быть платным или бесплатным. Применение технологий Web 2.0 сотрудниками департамента T&D. Может быть платным или бесплатным (свободно распространяемым). Условимся о терминах. 3 версии еLearning по Тони Кареру http://elearningtech.blogspot.com/.

«Web-сайты web-страницы» - Web-сайты и web-страницы. Web-сервер – серверы Интернета, реализующие WWW-технологию. Публикация во Всемирной паутине реализуется в форме Web-сайтов. Web-страница – документ, реализованный по технологии WWW. WWW – World Wide Web всемирная паутина (вольный перевод с английского). Структура сайта. Динамические страницы – страницы, которые могут меняться после загрузки в браузер.

«Создание web-страниц» - Web - сайт. 1.3. Информационное наполнение сайта. Периодичность обновления данных сайта. Общая характеристика данных, включаемых в сайт. Предполагается ли регистрация посетителей сайта. Навигация. Анима- ция. Предполагается ли получение информации от посетителей сайта? : В контейнер <BODY> вставить последовательность.

«Web 2.0» - Примеры российских проектов Web 2.0. Краткий обзор концепции Web 2.0. Успешность ведущих Web 2.0 сервисов. Сообщество само вытесняет неактуальные материалы. Уже имеет посещаемость в 80 000 человек ежесуточно. На территории Рунета пока только появляются первые «ласточки». Почему для вашей компании наступило времяweb 2.0?

«Страницы» - Изменение цвета фрагмента текста. <FONT></FONT> <FONT COLOR=“#00FF00”></FONT>. Титульная страница. Атрибуты тега <BODY>. HTML-проектирование: «Достопримечательности Мурманской области». Атрибуты графического изображения. Структура Web-страницы. Апатиты, 2008. занятие в рамках реализации целевой программы «Технология создания сайтов».

«Средства создания web-страниц» - Размер текста. Специфический элемент. Вставить таблицу. Создание Web-страниц. Тип шрифта. Дополнительные возможности. Фоновое изображение. Изображение. Просмотреть Web-страницу. Цвет текста. Сохранить текущую Web-страницу. Редактор страниц. Изменить гиперссылку.

Веб-страницы

13 презентаций о веб-страницах
Урок

Информатика

130 тем
Картинки