1
我做的工作项目同源策略研究能同源策略被破坏虚拟网络测试
这似乎同根同源的政策是政策性非常强,不能被打破?
我已经测试了iframes,CSS历史URL hack作为破解它的可能方法。
我想知道是否有关于可能的测试的任何想法,我可以执行他们是否会工作或不测试相同的原产地政策。是否有一个关于如何在虚拟netkit环境中进行DNS重新绑定的简单教程?
感谢
A
回答
0
首先你应该母校什么同源策略(SOP)需要,而Browser Secuirty Handbook是一个很好的资源。
这就是说有很多方法,网站撤销SOP赋予他们的保护。 XSS就是一个很好的例子,因为这可以用来访问另一个域上的数据,一个很好的例子就是the samy worm。
SOP不阻止跨站请求伪造攻击。这个想法是,你可以发送请求,但你无法读取响应。在这次攻击中,请求会引起副作用,例如更改用户的密码。
点击劫持是另一个缺陷的例子,其中事件(鼠标移动事件,点击事件,按键事件)被传递到另一个域,并可能导致问题。
然后人们有意绕过SOP,CORS和JSONP就是一个很好的例子。还有Flash的crossdomain.xml文件。
最后但并非最不重要,SOP bypass vulnerabilities are incredibly common in browsers.。
+0
很好的回答队友来获得一个网站,即(websiteA.com)能够访问(websiteB.com)的属性。注意到你没有提及跨站点历史操纵(XSHM)?任何想法也许在Javascript中绕过浏览器history.object?我知道现在使用a:visited来查看当前会话中的链接是否已被点击,XSS Firefox bug现在已经很老了,是否有任何新的更新,即在Web浏览器中的新的替代方案?然后,您可以阅读CSRF – daza166 2012-04-10 19:24:53
+0
@ daza166等盲目攻击的回复。我不相信这是可能的。使用clickjacking可以读取页面的内容,方法是让用户拖放要读取的页面的'view-source:'的iframe的iframe。 – rook 2012-04-10 20:31:37
相关问题
- 1. 性能测试策略的网络应用程序
- 2. 同源策略局域网
- 3. 同源策略
- 4. 集成测试策略资源
- 5. 网络服务器应用程序的负载测试策略
- 6. EJB测试策略?
- 7. Azure虚拟网络网关
- 8. delphi虚拟课堂创建/破坏
- 9. 导轨功能测试不会破坏
- 10. 自举网格被破坏
- 11. 虚拟属性被忽略
- 12. 。虚拟机上的网络性能
- 13. DC/OS虚拟网络不能跨
- 14. 针对渗透测试的虚拟网络应用程序
- 15. 网络服务器虚拟网络
- 16. Google Compute Engine虚拟机备份策略
- 17. gcloud容器虚拟机日志策略
- 18. 在远程虚拟机上进行自动UI测试的策略
- 19. 模块化应用堆栈中的虚拟数据和单元测试策略
- 20. 虚拟网络服务
- 21. Microsoft Azure - 虚拟网络
- 22. 虚拟网络连接
- 23. 是IndexedDB和同源策略
- 24. Safari和Javascript - 同源策略?
- 25. Jquery .load同源策略
- 26. 抑制同源策略
- 27. 同源策略文件
- 28. 违反了同源策略?
- 29. 同源策略的例外
- 30. Azure虚拟网络。连接来自不同子网的虚拟机
你想要做什么?什么是目标? – Joseph 2012-04-10 10:51:35
尝试测试是否可以通过实验破坏同源策略 – daza166 2012-04-10 11:01:25
“违反”的标准是什么?什么决定了违规? – Joseph 2012-04-10 11:05:41