C++[0]
基礎語法、陣列、迴圈
Claire
- 北資一六社長 x 網管
- 競程是舊愛 而且我很爛
- 新歡大概是資安
- 但我都只打水題
樹枝爆肝仔
Who am I
Index
1
Intro
3
Hello World!
5
Operaters
Setup
2
Variables & Data Types
4
Array
6
7
Input & Output
Conditionals
8
9
Loops
Practices
10
Intro
程式語言是什麼?
程式語言(英語:programming language)是用來表達電腦程式的電腦語言。它是一套標準化的交流技巧,一種能夠讓程式設計師準確地定義電腦所需資料的語言,以向電腦發出指令並精確地定義不同情況下應當採取的行動。 --維基百科
程式語言是什麼?
- 程式語言就是人類用來命令電腦做事情所用的語言
- 機器語言:
- 以二進位直接對電腦下指令
- 組合語言:
- 二進位好難寫 → 以文字代替二進位來表達指令
- 對應到機器語言
- 無法在不同處理器共通
程式語言是什麼?
- 高階語言:
- 讓同一個程式在不同處理器運行
- 易讀性up
- 翻譯成機器語言時可以
- 編譯(Compille):執行前透過編譯器一次翻譯所有程式碼
- ex. C、C++、Java...
- 直譯(Interpret):執行時一邊翻譯一邊執行
- ex. Python、JavaScript、PHP...
- 編譯(Compille):執行前透過編譯器一次翻譯所有程式碼
XSS
XSS
- Cross-Site Scripting
- 攻擊者能在別人的網站上執行 javascript 程式碼
- 流程:
- 駭客在受害網站注入 XSS
- 讓用戶接觸到 URL
- 用戶點擊 URL,把自己的資料藉由受害網站傳給駭客
Reflected XSS
- 請求中夾帶惡意語法或程式碼
- 將惡意程式會藏在網址
- 通常要用社交工程釣魚讓用戶點 URL
- 畢竟 URL 看起來很詭異
- 以短網址或 HTML Encoder 欺騙用戶
http://www.example.com/upload.asp?id=<script>alert(1);</script>DOM-Based XSS
- Document Object Model,文件物件模型
- 把一份 HTML 文件內的各個標籤都定義成物件
- 注入 "> 來提前結束原本屬性值,插入惡意的 HTML 標籤
- 利用 img 的 onerror 事件
<img src=# onerror=”alert(1)”><svg onload=alert(1)>Stored XSS
- 不需要使用社交工程釣魚
- 將 Javascript 儲存在伺服器的資料庫
- ex. 注入留言板,用戶瀏覽網頁時會載入留言板的 Javascript 進而使用戶受到攻擊
留言欄位:我是壞人! <script>alert(1);</script>Labs
- https://portswigger.net/web-security/os-command-injection/lab-simple
- https://portswigger.net/web-security/cross-site-scripting/reflected/lab-html-context-nothing-encoded
-
https://portswigger.net/web-security/cross-site-scripting/dom-based/lab-document-write-sink
- https://portswigger.net/web-security/cross-site-scripting/dom-based/lab-innerhtml-sink
- https://portswigger.net/web-security/cross-site-scripting/dom-based/lab-document-write-sink-inside-select-element
- https://portswigger.net/web-security/cross-site-scripting/stored/lab-html-context-nothing-encoded
Practice
Thank You!
