<menuitem id="j9trx"></menuitem>
<cite id="j9trx"></cite>
<cite id="j9trx"></cite>
<var id="j9trx"><video id="j9trx"><listing id="j9trx"></listing></video></var><menuitem id="j9trx"><strike id="j9trx"><listing id="j9trx"></listing></strike></menuitem>
<var id="j9trx"><strike id="j9trx"><listing id="j9trx"></listing></strike></var>
<var id="j9trx"></var><var id="j9trx"></var>
<var id="j9trx"></var>
<menuitem id="j9trx"></menuitem>
<menuitem id="j9trx"><strike id="j9trx"><progress id="j9trx"></progress></strike></menuitem>
    【招商主管QQ35497】鳳凰聯盟二號站官網平臺【QQ35497】專注2號站指定招商主管咨詢,2號站5G信息化行業新聞,是2號站登錄測速指定站,關注收藏2號站官網平臺注冊登錄鏈接。

二號站登錄測速腳本小工具(script gadget)也有大用處

二號站登錄測速

作為現代社會的核心技術之一,Web深刻地改變了人與人和數據交互的方式。 Web上最嚴重的攻擊之一是跨站點腳本(XSS),攻擊者可以在該腳本中將二號站登陸測速鏈接惡意JavaScript代碼注入Web應用程序,從而使該代碼可以完全訪問受害站點。為了減輕造成XSS的標記注入缺陷的影響,現在所有瀏覽器中都提供了對內容安全策略(CSP)的支持。部署這種策略使Web開發人員可以將可從二號站登陸測速鏈接加載腳本代碼的白名單列入白名單,從而實質上限制了攻擊者僅能夠執行從所述白名單中注入的代碼的能力。在存在所謂的腳本小工具(script gadget)的情況下,注入腳本標記并不是成功攻擊的必要先決條件。這些小的JavaScript代碼片段將頁面中包含的非腳本標記轉換為可執行的JavaScript,從而為繞過部署的CSP打開了大門。特別是結合CSP處理重定向資源的邏輯,腳本小工具使攻擊者可以繞過否則會采取的安全策略。

二號站登錄測速腳本小工具(script gadget)也有大用處

在當今社會,網絡已成為日常生活的重要組成部分。它不僅已發展成為一個能夠通過社交媒體與朋友保持聯系的平臺,而且更重要的是,它已轉變為一個成熟的應用程序生態系統,甚至可以托管復雜的應用程序。鑒于這種日益增長的重要性,任何特定于Web的威脅都在威脅精巧數據的安全性。最嚴重的威脅之一就是所謂的跨站點腳本(XSS)漏洞。這些漏洞使攻擊者可以在有漏洞的網站的上下文中執行JS代碼,從而從根本上使攻擊者的代碼可以執行站點自己的JS可以執行的任何操作。這使攻擊者能夠竊取受害者的憑據,泄漏敏感信息或代表受害者執行操作。因此,XSS可能會造成嚴重損壞,尤二號站登陸測速鏈接是在安全性至關重要的應用程序中。為了減輕此漏洞的影響,開發人員可以使用內容安全策略(CSP)。由于XSS意味著開發人員不需要的代碼在二號站登陸測速鏈接應用程序中執行,CSP遵循了開發人員預代碼的白名單方法。特別是,開發人員可以提供允許在Web應用程序的上下文中加載并因此執行的腳本資源的白名單。

值得注意的是,盡管有幾篇論文顯示了站點運營商無法以安全的方式部署CSP ,但仍存在一個新的威脅:Script Gadget。將腳本小工具配成JS代碼片段,這些片段會將非腳本數據轉換為執行代碼。因此,這些片段(通常包含在AngularJS等廣泛使用的庫中)使攻擊者能夠利用應用程序中的注入漏洞,而無需注入實際的腳本有效載荷。由于非腳本數據不受CSP控制,因此這使攻擊者可以在存在腳本小工具的情況下成功利用注入漏洞。為了利用腳本小工具,需要將包含庫加載到站點中,或者將包含此類庫的主機列入白名單。在野發現的56%不同策略可能會通過白名單中的小工具托管網站被如繞過,僅存在包含標記為AngularJS的庫的主機不足以成功利用漏洞。

由于CSP是針對XSS注入的最后一道防線,因此假設部署CSP的站點可能容易受到XSS的攻擊。因此模擬了一個注入漏洞,并將小工具庫與非腳本有效負載組合在一起,將二號站登陸測速鏈接旁加載到目標應用程序中。僅在可以觸發利用之后,才將站點標記為易于通過腳本小工具旁加載進行繞過。這樣一來發現只有248個使用合理CSP的站點,而29個站點包含指向AngularJS托管站點的白名單條目,只有24個(9.6%)可以通過腳本小工具旁加載來繞過。重要的是,盡管以有意義的安全方式部署CSP的站點集很小,但是從一開始,通過腳本小工具來繞過二號站登陸測速鏈接策略的過程就凸顯了依靠第三方來建立策略的沉重負擔。

二號站登錄測速腳本小工具(script gadget)也有大用處

先前的工作提出了根據站點功能所需的腳本通過自動化工具部署CSP的功能。為了了解腳本小工具嚴重損害此類工具生成功能性且安全的CSP的能力,從第二個角度研究了腳本小工具的問題:對前10,000個網站的假設what-if分析。為此,基于這些站點所使用的JS源生成了CSP,并表明僅由于它們依賴第三方主機才能通過旁加載的腳本小工具成功攻擊這些應用程序的三分之一以上。更糟的是,為避免路徑信息跨源泄漏,如果加載的資源是重定向的結果,則CSP的匹配算法將忽略源表達式的路徑成分。因此,即使開發人員沒有將整個源域列入白名單,而只是將特定腳本列入白名單,但如果至少有一個列入白名單的源遭受了開放重定向,仍然可以加載選擇的庫。值得注意的是,屬于10,000個最常用網站的一部分或這些網站加載的資源的114個不同域都受到此漏洞的影響。


二號站官網平臺_2號站注冊|2號站登錄測速指定站
如未注明 , 均為原創丨本網站采用BY-NC-SA協議進行授權
轉載請注明原文鏈接:二號站登錄測速腳本小工具(script gadget)也有大用處
喜歡 (0)
一本一本久久a久久精品宗合,亚洲成a人片在线观看久,在线人成视频播放午夜福利,亚洲成a人片在线观看天堂无码