Tag: 安全
-
xss
1.Non-persistent XSS 便携a.php <?php $input = $_GET[“param”]; echo “<div>”.$input.”</div>”; ?> 访问 https://www.moneyslow.com/a.php?param=<script>alert(/xss/)</script> 2.DOM XSS <html> <head> <meta http-equiv=”Content-Type” content=”text/html; charset=utf-8″> <script type=”text/javascript”> function changeLink() { var str = document.getElementById(“text”).value; document.getElementById(“t”).innerHTML=”<a href='”+str+”‘ >testlink</a>”; } </script> </head> <div id=”t”></div> <input type=”text” id=”text” value=”” /> <input type=”button” id=”s” value=”write” onclick=”changeLink()” /> </html> 测试输入 ‘ onclick=alert(/xss) //
-
移动安全:即将到来的硬件和软件之争
谷歌刚刚推出了Android Pay平台,并与AT&T、Verizon和T-Mobile达成协议以在Android手机预先安装该平台。另外,三星也在构建自己的支付系统—SamSung Pay,沃尔玛正在计划其面对零售商的CurrentC系统,Paypay即将从eBay独立出来,也已经开始收购支付技术供应商。 对于消费者来说,到底选择哪种移动支付,可能要取决于他们是使用iPhone还是Android手机,以及哪些应用程序更易于使用以及被大多数商家接受。 商家今年正在升级其系统,因为他们根据规定需要转移到芯片密码或“智能卡”,他们可能会考虑还不如咬咬牙直接转移到移动支付。幸运的是,他们不需要决定是支持苹果的平台还是谷歌的平台,自动添加对一个平台的支持意味着他们也可以接受另一个平台的支付。 那么,后端技术如何?它们如何确保安全性?根据安全专家表示,这里有几种选择,但每种都有自己的安全问题。Apple Pay和大多数其他移动支付平台之间的主要区别特征是,Apple Pay采用基于硬件的安全性来防止篡改,即手机内部的“安全元件”。 在iPhone中,还有指纹扫描仪来提供额外的安全性。 根据Malwarebytes公司恶意软件情报负责人Adam Kujawa表示,这个过程中没有未加密的个人信息被传输。 到目前为止,唯一报道的安全问题是在最初注册时,攻击者能够要求呼叫中心运营商添加偷来的信用卡到其iPhone。 此外,理论上来讲,盗贼能够骗过指纹扫描仪,并进行未经授权的购买。 但ApplePay这些最大的缺点并不是那么容易利用,该手机价格昂贵,并且,当iPhone没电时没办法进行付款。