大厂超全安全测试--关于安全测试的分类及如何测试

安全测试(总结)

1.jsonNP劫持

(其实json劫持和jsonNP 劫持属于CSRF跨站请求伪造)的攻击范畴,解决方法和CSRF一样

定义:构造带有jsonp接口的恶意页面发给用户点击,从而将用户的敏感信息通过jsonp接口传输到攻击者服务器

json语法规则:数据在名称/值对中、数据由逗号分隔、花括号保存对象、方括号保存数据组

JSONP : JSON with Padding•是基于 JSON 格式的为解决跨域请求资源而产生的解决方案,由于同源策略,JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对领象,但也在一定程度上限制了一些前端功能的实现,一般来说位于 server1example.com 的网页无法与不是 server1.example.com 的服务器沟通,而 HTML的sscript元素是一个例外。利用
b)"alert(1);x='"
c) "> < img src=x οnerrοr=alert(1)>

d)''>

你可能感兴趣的:(安全测试,安全,系统安全,web安全,安全威胁分析,密码学,安全架构,网络安全)