|
|
|
|
|
|
来源:上海安言信息技术有限公司 发布日期:2015.01.15 点击量:
本网讯:
2014年1月23日晚,上海安言信息技术有限公司创办的“安言讲堂”座无虚席,迎来了第十八次课程----客户端脚本安全,主讲师为安言咨询专门为讲堂学员们从外部请来的OWASP中国区上海区负责人、上海信息安全技能竞赛专家委员组成员之一、IDF Labs联合创始人、在线安全团队CISRG的发起人----宋国徽老师。
课程中,宋老师对现场学员们强调,现在是以互动为核心的Web2.0时代,用户已不再是单纯的信息获取者而是信息的创造者,互联网也不再是一个完全的虚拟世界而成为人们现实生活的纽带。诸如社交网络、个人博客、内容分享等新兴的功能强大的Web应用程序正在不断涌现,因此,对于这些不同于传统应用程序所带来的安全问题也引起了高度重视。 客户端脚本是Web应用程序的基石,越来越多的功能通过脚本在客户端实现,带来了良好的用户体验,然而,由于客户端所面临的网络环境复杂并且不受程序开发人员所控制,使其屡受攻击,攻击者利用基于脚本的攻击向量就能完成对Web用户的攻击,其危害程度不亚于直接攻击应用程序服务器端。
宋老师首先对与Web应用程序紧密相关的核心技术进行了系统的阐述,然后重点研究了典型的跨站脚本攻击(Cross-Site Scripting, XSS),分析了三种不同类型的XSS漏洞以及其发生的原因和攻击的过程,并结合广泛的实践经验,分析了多种不同的XSS攻击向量和漏洞挖掘技巧。跨站请求伪造(Cross-Site RequestForgery,CSRF/XSRF)和点击劫持(ClickJacking)则是两种新型的Web客户端攻击技术,宋老师也分析了其攻击原理和防御机制,尤其重点讲述了各种漏洞间的组合攻击并对现有XSS防御措施的不足之处,提出了一种客户端的防御算法。昨日的课程内容使现场学员收获不少。
小编课后问到参加课程的外部学员小熊同学对于昨日老师讲的课后感,小熊说:“这样的课程类似实战型,相信各位都有这种感觉,更切合我们的实际工作。”最后,小熊的一段话,让小编的心温暖之极:“提前祝安言的老师和同事们新年快乐。在“安言讲堂”的课程中,我学到了不少知识,对自己将来的日常工作都有很大的帮助,也有幸认识了如此多安言的优秀顾问,在这里我对安言表示由衷的感谢,感谢你们建立了安言讲堂,感谢安言的老师们放弃休息,无偿的为我们讲课。”
昨日的课程已是春节的最后一次,新年新气象,安言将致力于为客户提供更多精致的服务。年后将会发布安言讲堂2月份课程,尽请关注。
相关新闻:
