主页 / 乌云白帽大会 WHF2016 / 对方不想说话并扔了个 message
-
作者呆子不开口
-
标签
-
简介
postmessage 是 H5 的一个跨域通信方法,相比那些传统的跨域方式,它带来了一些新的漏洞场景。本议题将分享「若干互联网产品」的此类漏洞案例,由案例入手探讨一些常见的攻击手段和利用技巧,并总结此技术在使用时需注意的一些安全事项。相信我,精彩的案例分析和技巧分享,配上乌云著名段子手的演说,一定让你一听停不下来。
- 一些浏览器跨域传输方案
- cross-document-messaging
- postMessage的几个场景
- postMessage
- postMessage的一些漏洞案例
- QQ上你点啊点/H5拿你的授权/微博oauth有点弱/提权进了你微博
- 微博开放平台的JSSDK使用的一个接口
- 点我的链接我就进你的微博
- 手机qq上你点我的链接我就可能获得你的地理位置
- postMessage的安全注意事项
- 一些思考
- 开放平台容易出相关漏洞,因为要和第三方交互
- postMessage的漏洞场景相当于jsonp劫持+xss+csrf
- Chanel message、worker等h5技术可能也会带来新的漏洞场景
- …………
-
援引http://toutiao.com/i6295091639786406402/
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2016-07-11 07:02:21
-
2019-08-26 06:16:02
-
2018-07-17 02:16:31
附件下载
-
对方不想说话并扔了个message.pptx