※ 引述《TonyQ (骨头)》之铭言： : OWASP(open web application security project) : 也就是 http://www.owasp.org.tw/owasp_asia_2007/ : 之前就一直对 web 上资安的问题很有兴趣， : 如 SQL Injection 的问题早在三四年前就听过有很惨痛的案例， : 这次难得有这个免费的机会能略探究竟，就从桃园北上听讲罗～ : ──────────────────────────────── 本人对於最後提到的PHP(?)的四个安全漏洞感到有兴趣 希望大家能有去听的能说明一下最後那四个资讯安全议题的内容... (因为我英文听力也许也不怎麽好>"<) 1.Cross-site scripting (XSS) 我只听到用get传送语法後面加一串alert(XXX)然後 cookie的内容就出来了...(我想知道使用方法...) 2.忘了叫什麽印象中是 <input type="text" value=""onMouseOut=" "> (亮色部份是被插入的语法) 3.SQL Injection 这个记得最清楚啦,本人有切身之痛= = 主办人举例是一个利用网页exec()对执行档的帐号密码登入 然後被修改成加入新的帐号的指令 而我之前遇到的是被帐号密码输入SQL语法' or a='a就被成功登入 因为之前偷懒写资料库有值出现就放行= = 4.pfishing 据我了解是利用javascript手法把iframe嵌入网页中 所以被攻击的网页会出现你想出现的任何页面 个人觉得以上1 2 4个可能错很大 如果版主觉得不妥我就自删 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.64.141.184