1
我做的工作項目同源策略研究能同源策略被破壞虛擬網絡測試
這似乎同根同源的政策是政策性非常強,不能被打破?
我已經測試了iframes,CSS歷史URL hack作爲破解它的可能方法。
我想知道是否有關於可能的測試的任何想法,我可以執行他們是否會工作或不測試相同的原產地政策。是否有一個關於如何在虛擬netkit環境中進行DNS重新綁定的簡單教程?
感謝
A
回答
0
首先你應該母校什麼同源策略(SOP)需要,而Browser Secuirty Handbook是一個很好的資源。
這就是說有很多方法,網站撤銷SOP賦予他們的保護。 XSS就是一個很好的例子,因爲這可以用來訪問另一個域上的數據,一個很好的例子就是the samy worm。
SOP不阻止跨站請求僞造攻擊。這個想法是,你可以發送請求,但你無法讀取響應。在這次攻擊中,請求會引起副作用,例如更改用戶的密碼。
點擊劫持是另一個缺陷的例子,其中事件(鼠標移動事件,點擊事件,按鍵事件)被傳遞到另一個域,並可能導致問題。
然後人們有意繞過SOP,CORS和JSONP就是一個很好的例子。還有Flash的crossdomain.xml文件。
最後但並非最不重要,SOP bypass vulnerabilities are incredibly common in browsers.。
+0
很好的回答隊友來獲得一個網站,即(websiteA.com)能夠訪問(websiteB.com)的屬性。注意到你沒有提及跨站點歷史操縱(XSHM)?任何想法也許在Javascript中繞過瀏覽器history.object?我知道現在使用a:visited來查看當前會話中的鏈接是否已被點擊,XSS Firefox bug現在已經很老了,是否有任何新的更新,即在Web瀏覽器中的新的替代方案?然後,您可以閱讀CSRF – daza166 2012-04-10 19:24:53
+0
@ daza166等盲目攻擊的回覆。我不相信這是可能的。使用clickjacking可以讀取頁面的內容,方法是讓用戶拖放要讀取的頁面的'view-source:'的iframe的iframe。 – rook 2012-04-10 20:31:37
相關問題
- 1. 性能測試策略的網絡應用程序
- 2. 同源策略局域網
- 3. 集成測試ServiceSecurityContext虛擬策略需要
- 4. 同源策略
- 5. Gameboy模擬器測試策略?
- 6. 集成測試策略資源
- 7. 虛擬機網絡
- 8. QtWebkit同源策略
- 9. jFeed同源策略
- 10. XMLHttpRequest同源策略
- 11. 使用外部網絡服務時的測試策略
- 12. 網絡服務器應用程序的負載測試策略
- 13. 被忽略EGit 2.1.0和Eclipse 4.2.1的資源被破壞了嗎?
- 14. ActivePivot測試策略
- 15. nhibernate測試策略
- 16. EJB測試策略?
- 17. 虛擬機中的虛擬機 - 網絡
- 18. Azure虛擬機虛擬網絡互通
- 19. 試圖禁用Chrome同源策略
- 20. Azure虛擬網絡網關
- 21. delphi虛擬課堂創建/破壞
- 22. 破壞者:虛擬還是不是?
- 23. 導軌功能測試不會破壞
- 24. 具有虛擬混淆策略的策略模式
- 25. 。虛擬機上的網絡性能
- 26. DC/OS虛擬網絡不能跨
- 27. 自舉網格被破壞
- 28. Yii CAPTCHA網址被破壞
- 29. 虛擬屬性被忽略
- 30. 針對滲透測試的虛擬網絡應用程序
你想要做什麼?什麼是目標? – Joseph 2012-04-10 10:51:35
嘗試測試是否可以通過實驗破壞同源策略 – daza166 2012-04-10 11:01:25
「違反」的標準是什麼?什麼決定了違規? – Joseph 2012-04-10 11:05:41