《XSS跨站脚本攻击剖析与防御》读书笔记思维导图

思维导图PPT模板《XSS跨站脚本攻击剖析与防御》最新版读书笔记，下载可以直接修改剖析攻击第章客户端浏览器脚本方式技术漏洞使用原理蠕虫站测试应用代码实例编码持久型本书关键字分析思维导图01序第2章XSS利用方式剖析第4章发掘XSS漏洞第1章XSS初探第3章XSS测试和工具剖析第5章XSSWorm剖析目录030502040607第6章Flash应用安全第8章防御XSS攻击第7章深入XSS原理参考文献目录0908010内容摘要本书通过讲述有关跨站脚本的知识，读者可以深刻地感受到跨站脚本的强大，并且详尽地了解许多与XSS相关的内容，例如，在什么环境下可以触发XSS，利用XSS漏洞可以做什么，如何防范此类攻击等。自始至终，本书贯穿着许多案例分析，读者可以在实际环境中进行安全测试。序XSS最大的特点就是能注入恶意的HTML/JavaScript代码到用户浏览的网页上，从而达到劫持用户会话的目的。第1章XSS初探Session是保存在服务端的内存里面，而Cookie保存于浏览器或客户端文件里面一种是反射型跨站脚本；另一种是持久型跨站脚本所谓的Shellcode，最初是溢出程序和蠕虫病毒的核心，实际上是指利用一个漏洞时所执行的代码。1.1跨站脚本介绍1.2XSS的分类1.3XSS的简单发掘1.4XSSCheatSheet1.5XSS构造剖析1.6Shellcode的调用010302040506第1章XSS初探1.1.1什么是XSS跨站脚本1.1.3XSS漏洞的危害1.1.2XSS跨站脚本实例1.1跨站脚本介绍1.2.2持久型XSS1.2.1反射型XSS1.2XSS的分类1.3.1搭建测试环境1.3.3发掘持久型的XSS1.3.2发掘反射型的XSS1.3XSS的简单发掘1.5.1绕过XSS-Filter1.5.3拆分跨站法1.5.2利用字符编码1.5XSS构造剖析1.6.1动态调用远程JavaScr...1.6.2使用window.locat...1.6.3XSSDownloader1.6.4备选存储技术1.6Shellcode的调用第2章XSS利用方式剖析XSS攻击的危害程度大小，依赖于业务场景的重要程度。2.1Cookie窃取攻击剖析2.2会话劫持剖析2.3网络钓鱼2.4XSSHistoryHack2.5客户端信息刺探2.6其他恶意攻击剖析010302040506第2章XSS利用方式剖析2.1.1Cookie基础介绍2.1.3Cookie欺骗实例剖析2.1.2Cookie会话攻击原理剖析2.1Cookie窃取攻击剖析2.2.1了解Session机制2.2.3获取网站Webshell2.2.2XSS实现权限提升2.2会话劫持剖析2.3.1XSSPhishing2.3.3高级钓鱼技术2.3.2XSS钓鱼的方式2.3网络钓鱼2.4.1链接样式和getComput...2.4.3窃取搜索查询2.4.2JavaScript/CSS...2.4XSSHistoryHack2.5.1JavaScript实现端口...2.5.3获取客户端IP地址2.5.2截获剪贴板内容2.5客户端信息刺探2.6.1网页挂马2.6.3XSSVirus/Worm2.6.2DOS和DDOS2.6其他恶意攻击剖析第3章XSS测试和工具剖析这本书厉害了，虽然切入点就是一个js的xss漏洞问题，但是写了整整一本书。3.1Firebug3.2TamperData3.3LiveHTTPHeader...3.4Fiddler第3章XSS测试和工具剖析3.5XSS-Proxy3.6XSSShell3.7AttackAPI3.8Anehta第3章XSS测试和工具剖析第4章发掘XSS漏洞无孔不入的XSS.CSRF读完这本书觉得终于知道这两个东西大概是什么了，防御方式大概有那么些。4.1黑盒工具测试4.2黑盒手动测试4.3源代码安全审计4.4JavaScript代码分析4.5发掘FlashXSS4.6巧用语言特性010302040506第4章发掘XSS漏洞4.4.1DOM简介4.4.3发掘基于DOM的XSS4.4.2第三种XSS——DOMXS...4.4JavaScript代码分析4.6.1PHP4phpinfo(...4.6.3变量覆盖4.6.2$_SERVER[PHP_S...4.6巧用语言特性第5章XSSWorm剖析挺不错的一本书，系统得讲了web安全中可能会出现的攻击漏洞并且给出了解决方式，值得一读。5.1Web2.0应用安全5.2Ajax技术指南5.3浏览器安全5.4XSSWorm介绍5.5新浪微博蠕虫分析12345第5章XSSWorm剖析5.1.2浅谈Web2.0的安全性5.1.1改变世界的Web2.05.1Web2.0应用安全5.2.1使用Ajax5.2.2XMLHttpRequest...5.2.3HTTP请求5.2.4HTTP响应5.2Ajax技术指南5.3.2同源安全策略5.3.1沙箱5.3浏览器安全5.4.1蠕虫病毒剖析5.4.2XSSWorm攻击原理剖析5.4.3XSSWorm剖析5.4.4运用DOM技术5.4XSSWorm介绍第6章Flash应用安全6.1Flash简介6.2Flash安全模型6.3Flash客户端攻击剖析6.4利用Flash进行XSS攻击剖析6.5利用Flash进行CSRF12345第6章Flash应用安全6.1.1FlashPlayer与...6.1.3ActionScript语言6.1.2嵌入Flash文件6.1Flash简介6.2.1Flash安全沙箱6.2.3设置管理器6.2.2CrossDomainP...6.2Flash安全模型6.3.1getURL()&XSS6.3.2CrossSiteFla...6.3.3Flash参数型注入6.3.4Flash钓鱼剖析6.3Flash客户端攻击剖析第7章深入XSS原理7.1深入浅出CSRF7.2HackingJSON7.3HTTPResponseSp...7.4MHTML协议的安全7.5利用DataURIs进行XS...7.6UTF-7BOMXSS010302040506第7章深入XSS原理7.7浏览器插件安全7.8特殊的XSS应用场景剖析7.9浏览器差异7.10字符集编码隐患第7章深入XSS原理7.1.1CSRF原理剖析7.1.3CSRF的应用剖析7.1.2CSRF实例讲解剖析7.1深入浅出CSRF7.2.1JSON概述7.2.3JSONHijacking7.2.2跨域JSON注入剖析7.2HackingJSON7.3.1HTTPHeader7.3.3校内网HRS案例7.3.2CRLFInjection...7.3HTTPResponseSp...7.5.1DataURIs介绍7.5.3vBulletinData...7.5.2DataURIsXSS7.5利用DataURIs进行XS...7.7.1Flash后门7.7.3QuickTimeXSS7.7.2来自PDF的XSS7.7浏览器插件安全7.8.1基于Cookie的XSS7.8.3应用软件中的XSS7.8.2来自RSS的XSS7.8特殊的XSS应用场景剖析7.9.1跨浏览器的不兼容性7.9.3浏览器差异与XSS7.9.2IE嗅探机制与XSS7.9浏览器差异第8章防御XSS攻击8.1使用XSSFilter8.2定制过滤策略8.3Web安全编码规范8.4防御DOM-BasedXSS8.5其他防御方式8.6防御CSRF攻击010302040506第8章防御XSS攻击8.1.1输入过滤8.1.3黑名单和白