本文目录一览:
知乎的编辑器是如何做 SQL 注入和 XSS 的防护的?
SQL注入:由于内容不涉及条件查询,所以编辑器不用防SQL注入
XSS:转义部分能执行JS的HTML 如
当下web前端用得最多的开发工具是什么 知乎
一般是hbuilder、webstrom、sublime这三个。
hbuilder为纯国产,比较适合国人使用习惯,挺好用的,能敲几个字母再回车就能产生一个代码块,比如header的内容可以很快写出来,而且有边改边看模式,并且有自己的h5+、mui这些做混合app的框架,很好用。
webstrom相对来说也有代码提示,而且不用ctrl+s保存就能自动识别代码是否正确,而hbuilder需要保存一下才会验证代码。
sublime没有用过,不过据说也有代码提示,需要设置。
这三个都是看自己的个人使用习惯,我比较喜欢hbuilder,你可以用这几个软件试着写写页面,感受一下,看看哪个比较适合自己。
web渗透测试 学习什么 知乎
通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki;
阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的;
看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程等);
为什么我说 Android 很糟糕
Android 的安全问题一直被吐槽,包括不安全的APP市场、上次的远程命令执行漏洞、还有它的权限机制,总之一团糟,这些还是可以忍的,APP市场总是在规范化,大的漏洞很快就会被应急,权限问题也在慢慢改善。
今天要说的是一个 Android 下很有生命力的漏洞,刚刚提到的远程命里执行漏洞也是把所有涉及到浏览器的应用给走了一遍,包括 QQ、微博、UC浏览器,这次要说的也是关于浏览器的漏洞,叫 UXSS。
首先科普下 UXSS 和 WebView
通俗的说下
UXSS:当你访问 A 网站的时候A网站可以跨域获取你在 B 网站的一切信息。
WebView:安卓浏览器的浏览器组件,做网页展示都需要用到它。
他们是什么关系呢?
Webview 的底层的是 webkit,但是是比较老的 webkit。
这就出现一个问题, 大家用老版本的东西的时候可能是想着稳定性,还要注意一点的就是安全性,漏洞补丁往往是随着应用升级一起发布的。
老版本的 webkit 存在大量的已披露 UXSS 漏洞(即 POC 公开)。
再说说 UXSS 的攻击流程
正常情况下我们会访问各种各样的网站,比如我常上的网站是知乎和乌云。
如果有一天,邪恶的剑心想通过 UXSS 漏洞攻击我的知乎账户,那么他只要在乌云的网站中插入一段 JS 执行 UXSS 漏洞代码即可劫持我知乎账户的 session。
正常用户==request== wooyun.org
==script exec == uxss.js
uxss.js ==bypass SOP== zhihu.com
done,session get!
不只是浏览器,还包括 微信、QQ、微博等所有涉及网页浏览的应用。
手机QQ安卓版两处跨域问题
上面这个漏洞,可以直接在任意一个网页中插入上面漏洞的代码,发给好友 URL,就可以获得她的QQ权限。
UC浏览器Android最新版(4.4)跨域漏洞(不受系统版本限制)
再看来这个,是浏览器的,平时我们会使用手机浏览器登陆很多网站,这样更有利于攻击,可以直接一次攻击获得你所有登陆过的网站的身份。
还有很多,这些都是由于 webkit 版本低造成的。