Publikace Cross-Site Scripting v praxi detailně popisuje jednu z nejrozšířenějších zranitelností webových aplikací, kterou je bezpochyby právě Cross-Site Scripting. Vedle rozboru jednotlivých metod injektáže útočných skriptů do HTML kódu se čtenář seznámí také s různými postupy, které mohou útočníci využít k oklamání bezpečnostních filtrů. Nechybí ani množství ukázek konkrétních útoků, které je možné s využitím JavaScriptu vést proti uživatelům webové aplikace nebo metody obrany, které je možné proti útokům tohoto typu nasadit. Kniha by tak neměla chybět v knihovně žádného webmastera, který to se zabezpečením svých webových aplikací myslí skutečně vážně, stejně jako u uživatelů, kteří by o této hrozbě chtěli získat ucelený přehled.

Stručný obsah

1. Skriptování
2. Nástroje, které pomohou
3. Úvod do XSS a souvisejících zranitelností
4. Pokročilé metody injektáže skriptů
5. Průstup bezpečnostními filtry
6. Komunikační kanál mezi obětí a útočníkem
7. Hledání zranitelností
8. Skrývání útoku
9. Útoky XSS
10. Obrana
11. Přílohy: Použití speciálních znaků, Vektory injekce kódu, IT zákony

Download

• podrobný obsah - ve formátu PDF
• ukázka knihy - ve formátu PDF

• update - zatím žádný není

Recenze lektorů a reakce čtenářů

• zatím žádné nejsou

Odkazy

• www.soom.cz

Keywords

• obecná charakteristika
  .cCuMiNn. , testování počítačové bezpečnosti, testování zabezpečení, injektování kódu, injektování skriptu, hacking, cracking
• obsah knihy
  Skriptování, JavaScript, DOM, AJAX, Same Origin Policy, Nástroje, které pomohou, Nástroje pro psaní a ladění kódu, Lokální proxy servery, Kódování/dekódovaní znaků a kódů, Úvod do XSS a souvisejících zranitelností, Perzistentní XSS, Non-perzistentní (reflected) XSS, DOM-based XSS, CSRF, Clickjacking, HTML injection, Pokročilé metody injektáže skriptů, Skripty v externích souborech, In-line skripty, Self-contained JavaScript, Bypassing, Přesměrování, HTTP Response Splitting, Skripty v grafických souborech, Injektáž skriptu skrz Flash, Injektáž skriptu skrz plug-in Acrobat Reader, Injektáž skriptu skrz PDF soubory, Vstup přes QuickTime, Spuštění skriptu přes RSS, SIXSS, XSS s využitím RFI a LFI, Nakažené cookies, Vstup přes HTTP hlavičky, Stránka 404, Vložení skriptu skrz CSS (XSSTC), Spuštění skriptu ve vlastním profilu, Průstup bezpečnostními filtry, Obcházení bezpečnostních filtrů, Kódování, Znakové sady, Řetězce jako regulární výrazy, Obfuskace JavaScriptu, Komunikační kanál mezi obětí a útočníkem, Parametry GET požadavku, XMLHttpRequest, Generovaný Form, Hledání zranitelností, Manuální nástroje, Poloautomatické nástroje, Automatické nástroje, Skrývání útoku, Neviditelná akce, Odložení akce, Jednou spustit stačí, Schování útočníka za webovou proxy, Útoky XSS, Krádeže session, Změna přihlašovacího formuláře, Změna obsahu webové stránky, Přesměrování uživatelů, Keylogger v JavaScriptu, Zjištění navštívených stránek, Seznam vyhledávaných frází, Zjištění, kde je uživatel přihlášen, Password cracker, Útok na Intranet, XSS worms, XSS proxy, XSS backdoor, Instalace malware, Obrana, Na straně webové aplikace, Na straně uživatele / webového prohlížeče, Content Security Policy, Použití speciálních znaků, Vektory injekce kódu, Injekce využívající možností HTML5, Injekce fungující v HTML4 a starších, Injekce založená na CSS, Injekce prostého JavaScriptu, Injekce založené na E4X v prohlížečích s jádrem Gecko, Injekce skrz vlastnosti a metody DOM, Injekce založené na JSON, Injekce ukryté v SVG, Injekce svázané s XML, Injekce svázané s XHTML, Injekce založené na UTF-7 a dalších exotických znakových sadách, Útoky DoS zaměřené na klienta, Injekce využívající HTML behavior a binding, IT zákony.
• rejstřík knihy
  htaccess, script, 404 Not Found, absolutní odkaz, Access-Control-Allow-Origin, Acrobat Reader, action, Action Script, ActionScript Message Format, ActiveX, Acunetix Web Vulnerability Scanner, adresní řádek, Achilles, AJAX, alert · , allowNetworking, allowScriptAccess, API, apostrof, ASCII, ASCII kódování, asfunction:, asynchronní, atribut, AttackAPI, attribute nodes, Base64, BeEF, behavior, bezpečnostní filtr, bezpečnostní politika, bílé znaky, blacklist, body, bookmarklet, brutte force, Burp Suite, bypass, bypass atributů, bypass pole textarea, bypass prvku script, bypass prvku title, CAL9000, case sensitive, CDATA, clickjacking, clickTAG, Content Security Policy, Content Spoofing, content-type, cookie, cookiejacking, cookies, CRLF injection, Cross Site Reference Forgery, Cross Site Request Forgery, Cross Site Scripting, Cross-Origin Resource Sharing, Cross-Site Flashing, Cross-Site Tracing, CSP, CSRF, CSS, časová posloupnost, časování, data:, DATA:, dceřiný objekt, defacement, dekódovaní, dekompilace SWF, direktiva, direktivy CSP, document, Document Object Model, Dojo, DOM, DOM Inspector, DOM-based XSS, dvojité kódování, ECMAScript, editor, element, element nodes, elements, embed, escape sekvence znaků, escapování, eval, expression, externí soubor, file:, filtr, fingerprinting, Firebug, Flash, Flash cookies, FlashVars, FLV, form, forms, formulář, frame, FRAME-ANCESTORS, fromCharCode, funkce, GET, GET2MAIL, GET2POST, getElementById, getElementsByName, getElementsByTagName, grafické soubory, Grafický formát SVG, Hackvertor, header, hidden, history, href, HTML, HTML entita, HTML injection, htmlspecialchars, HTTP, HTTP hlavička, HTTP Response Splitting, http-equiv, httpOnly, charset, children, chybová konzola, identifikace uživatele, identifikátor relace, iframe, image, index, in-line skripty, innerHTML, input, interní síť, interpret, intranet, JavaScript, javascript:, jQuery, JS framework, JScript.Encode, kaskádové styly, keylogger, knihovna funkcí, kódování, komentář, komunikace, komunikační kanál, kontext, kontrola, konverze, konverze metod, kotva, krádež session, ladění skriptu, LFI, load, loadVars, Local File Inclusion, Local Shared Objects, location, lokální filesystém, lokální HTTP proxy, LSO, magic_quotes_gpc, malware, mateřský objekt, meta tag, method, metoda, MIME typ, mod_alias, moz-binding, mřížka, MTASC, nástroje, NAT, neviditelnost prvku, non-alfanumerický JavaScript, non-perzistentní XSS, NoScript, NULL, nulový znak, obfuskace JavaScriptu, object, objekt, obrana proti clickjackingu, obrana proti CSRF, odeslání formuláře, odkazování, odkazy, odložení akce, odložení startu, omezení, onclick, onerror, onload, onMouseOver, onReadyStateChange, opacity, open, opener, Origin, ošetření výstupu, ovladače událostí, Paros, password cracker, PDF, persistentní XSS, podmíněné komentáře, pole prvků, pop-up okno, posluchače událostí, POST, potomek, požadavek, proměnná, protokol HTTP, Prototype, proxy servery, přesměrování, přesměrování cizí, přesměrování veřejné, přihlašovací formulář, PSPad, QuickTime, readyState, readyStateChange, referer, referrer, reflected XSS, reflektované XSS, register globals, regulární výrazy, relativní odkaz, Remote File Inclusion, responseText, responseXML, RFI, řetězec, Same Origin Policy, scanner otevřených portů, self-contained skript, send, session stealing, sessionid, setInterval, setRequestHeader, setTimeout, siblings, SIXSS, skenování vnitřní sítě, skriptovací jazyky, SOOM.cz, source, SQL injection, src, status, status bar, stavovové kódy HTTP, stavový kód HTTP, stránka 404, stromová struktura, struktura dokumentu, submit, SVG, swf, SWF, SWFMILL, synchronní, Tamper Data, tečková notace, Testmail, testování, text nodes, text/javascript, textarea, textové uzly, time2 Behavior, TinyURL, title, token, TRACE, TramperData, type, události, unescape, unicode, únos sezení, URL, URL kódování, urldecode, US-ASCII, UTF-7, uvozovky, uvozující znaky, UXSS, uzel DOM, uzly atributů, uzly prvků, value, VBScript, VBScript:, view-source:, vlastnost, vstupní pole, Web Developer, WebScarab, whitelist, window, Windows Script Decoder, Windows Script Encoder, XBL, X-Content-Security-Policy, X-Content-Security-Policy-Report-Only, XdomainRequest, XDomainRequest, X-FRAME-OPTIONS, XHTML, XMLHttpRequest, XSRF, XSS, XSS backdoor, XSS červ, XSS Filter, XSS Shell, XSS Tunnel, XSS Worms, XSSer, XSS-me, zabudované objekty, základní typy dat, zakódovat, záložka, znaková sada, zpětné lomítko, zranitelnosti,

Dodatky:
Doporučit známým  |  Našli jste chybu?  |  Hlídací pes

URL adresa:
http://shop.ben.cz/cz/114548-xss-cross-site-scripting-v-praxi.aspx