XSS与CSRF区别详谈

最新推荐文章于 2024-04-03 13:32:32 发布
最新推荐文章于 2024-04-03 13:32:32 发布
阅读量592 收藏 1
点赞数
文章标签: 前端 xss javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76694151/article/details/130028215
版权

首先我们要对xss和crsf进行足够的了解才能分清楚两者的区别。

XSS漏洞

  xss:中文名称跨站脚本攻击,通常出现在搜索框、留言板、评论区等地方

  分类:反射性、存储型、DOM型

  攻击方式:构造恶意链接,诱骗用户点击盗取用户的cookie信息

  反射性xss:

    通常这一类xss危害较低,对网站没有什么严重的影响,具体表现在用户在搜索框输入xss语句返回弹框,仅出现一次

  存储型xss:

    存储型对网站危害较大,用户插入xss语句后,恶意语句会存入网站数据库中,用户访问过程都会出现弹框

  DOM型xss:

    DOM——文档对象类型

    利用浏览器的dom解析,更不容易被发现,可以更改页面布局

  漏洞危害:xss蠕虫、会话、流量劫持、网站挂马、盗取cookie

  防护方法:设置黑名单和白名单、对用户输入进行过滤、入参字符过滤、出参字符转义、设置httponly

 

CSRF漏洞

  csrf漏洞:中文名称跨站请求伪造,攻击者冒充用户身份执行用户操作

  漏洞原理:

    1、用户登录信任网站在未退出的情况下访问攻击者构造的恶意网站

    2、恶意网站发出访问第三方网站的请求,信任网站收到请求以用户信息访问

    3、攻击者在用户不知情的情况下冒充用户身份访问成功

  检测漏洞:抓取一个请求包,去掉referer字段进行访问,如果访问有效则存在漏洞

  危害:盗用用户身份、执行用户操作,修改信息

  防护方法:

    1、设置referer字段;但是并不是所有服务器在任何时候都可以接受referer字段,所以这个方法存在一定的局限性

    2、设置验证码;在用户操作的过程中设置身份确认的验证码,该方法会很有用,不过验证码频繁的话会影响用户体验

    3、设置token值,在用户请求中设置一个随机没有规律的token值可以有效的防止攻击者利用漏洞攻击

 

区别

  从上我们可以总结出:

    xss:跨站脚本攻击、诱骗用户点击恶意链接盗取用户cookie进行攻击、不需要用户进行登录、xss除了利用cookie还可以篡改网页等

    csrf:跨站请求伪造、无法获取用户的cookie而是直接冒充用户、需要用户登录后进行操作

小V讲安全
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSSCSRF详解
Sylon的博客
06-24 2782
XSSCSRF详解 随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。 黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则...
XSSCSRF
Cairo_A的博客
05-12 179
本文主要介绍了 XSSCSRF 的攻击原理和防御措施。当然,在 Web 安全领域,除了这两种常见的攻击方式,也存在这 SQL 注入等其它攻击方式。防御 XSS 攻击HttpOnly 防止劫取 Cookie用户的输入检查服务端的输出检查防御 CSRF 攻击验证码Token 验证<完>
XSSCSRF 攻击——有什么区别,如何加以防护
最新发布
HoewDec的博客
04-03 1277
在站点上存储攻击会放大攻击的严重性和可能性,因为受害者用户现在肯定会查看CSRF加载的页面,并且也会自然地对该页面进行身份验证。CSRF 攻击利用 Web 应用程序中的一个安全漏洞,该漏洞无法区分经过身份验证的用户会话中的错误请求和合法请求。这种攻击迫使不知情的用户登录到黑客控制的帐户。在存储式跨站攻击中,注入的恶意代码被永久地存储在易受攻击的web应用程序的不同组件中,如数据库、评论字段、访客日志、消息论坛等。三、CSRF攻击的范围有限,仅限于用户可以执行的操作,例如点击恶意链接或访问黑客的网站。
XSSCSRF区别
weixin_42478365的博客
04-29 6169
1.CSRF CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的时候,请求网站A的api接口时,会提示你登录) (2)在不登出A的情况下,访问危险网站B(其实是利用了网站A的漏洞)。 我们在讲CSRF时,一定要
XSSCSRF的概念和区别
定格空间
07-15 344
XSS 全称Cross Site Scripting,名为跨站脚本攻击,黑客将恶意脚本代码植入到页面中从而实现盗取用户信息等操作。 常见的攻击情景: 1、用户A访问安全网站B,然后用户C发现B网站存在XSS漏洞,此时用户C向A发送了一封邮件,里面有包含恶意脚本的URL地址(此URL地址还是网站B的地址,只是路径上有恶意脚本),当用户点击访问时,因为网站B中cookie含有用户的敏感信息,此时用户C就可以利用脚本在受信任的情况下获取用户A的cookie信息,以及进行一些恶意操作。 这种攻击叫做反射性XSS
XSSCSRF 比较
dzqxwzoe的博客
01-14 197
当被攻击者登陆网站时就会自动运行这些恶意代码,从而,攻击者可以突破网站的访问权限,冒充受害者。当用户点击一个恶意链接,或者提交一个表单,或者进入一个恶意网站时,注入脚本进入被攻击者的网站。通过修改原始的客户端代码,受害者浏览器的 DOM 环境改变,导致有效载荷的执行。也就是说,页面本身并没有变化,但由于DOM环境被恶意修改,有客户端代码被包含进了页面,并且意外执行。, 那么可能浏览文章的用户都会被攻击到。XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
nginx,wsgi,flask之间的关系
weixin_34212189的博客
11-29 64
之前看写flask 应用的一些疑问,百度上的答案解释的不错,这里记着以后可以看看Web 服务器层对于传统的客户端 - 服务器架构,客户端向服务器发送请求,服务器接收请求,处理请求,最后给客户端返回请求的响应,即简单来说,一个服务器的作用是:接收请求处理请求返回响应此文我们探讨web服务器,常见的web服务器有Nginx,Apache等。在这个三层结构中,web 服务器是最先接收到用户的请求的。We...
XSSCSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
在网络安全领域,XSS(Cross-Site Scripting)和CSRF(Cross-Site Request Forgery)是两种常见的攻击手段,而HTML注入则是它们的一种利用方式。这个“xss+csrf+html练习源码.rar”文件提供了针对这些漏洞的实战练习...
跨站攻击(XSS+CSRF).docx
01-05
实验目的与要求 1. 能理解XSS注入原理; 2. 能应用Low等级、Medium等级、High级别的XSS; 3. 能理解XSS的修复。 4. 能从攻击者角度、受害者角度描述CSRF; 5. 能应用Low等级、Medium等级的CSRF实现; 6. 能摸索High...
XSSCSRF区别与防范
初夏0811的博客
04-22 3103
XSS即Cross-Site-Scripting,跨站脚本攻击,为了不和前端开发者中的层叠样式表(CSS)的名字冲突,故简称XSSCSRF即Cross-Site Request Forgery,跨站请求伪造。 CSRF有别于XSS,从攻击效果上,两者有重合的地方。从技术原理上看两者有本质的不同,XSS是在正常用户请求HTML页面中执行黑客提供的恶意代码;CSRF是黑客直接盗用用户浏...
简述XSSCSRF的概念和区别
weixin_39327883的博客
04-25 1万+
XSS 全称Cross Site Scripting,名为跨站脚本攻击,黑客将恶意脚本代码植入到页面中从而实现盗取用户信息等操作。 常见的攻击情景: 1、用户A访问安全网站B,然后用户C发现B网站存在XSS漏洞,此时用户C向A发送了一封邮件,里面有包含恶意脚本的URL地址(此URL地址还是网站B的地址,只是路径上有恶意脚本),当用户点击访问时,因为网站B中cookie含有用户的...
XSSCSRF区别
热门推荐
Fighter1028
05-02 1万+
XSS原理: 根本我个人理解XSS又叫CSS(Cross-SiteScripting跨站脚本攻击)为了不和css层叠样式表混淆,所以改成了XSSXSS是将恶意的代码插入到html页面中,当用户浏览页面时,插入的html代码会被执行,从而达到最终目的。 XSS分为三种: 反射型:这种反射型一般存在链接中,请求链接时,代码经过
XSS攻击和CSRF攻击及其区别
meimeib的博客
07-16 1945
XSS攻击 XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。 跨站脚本攻击分有两种形式: 反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式) 持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面执行,QQ邮箱的早期版本就曾经被利用作为持久型跨站脚本攻击的平台)。 XSS虽然不是什么新鲜玩意,但
XSSCSRF有什么区别吗?
W1254667的博客
01-06 190
XSSCSRF区别
WEB安全之XSS和CRSF攻击
NickWU博客
07-23 1111
XSS定义XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM Based XSS漏洞,另一种是Stored XSS漏洞。理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。类似的攻击还有XSRF,XSRF是在本地生成cookie,模仿或者伪造跨域请求者信息,
csrfxss攻击的详解与区别
wuhuagu_wuhuaguo的博客
02-02 1万+
一、csrf攻击 1.CSRF的基本概念、缩写、全称:CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件:(1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的...
xsscsrf区别
07-20
XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们的目标和实现方式不同。 XSS攻击主要针对的是网页应用中存在的漏洞,攻击者通过注入恶意的脚本代码到网页中,使得用户在浏览网页时执行该恶意代码,从而达到攻击的目的。XSS攻击可以分为存储型、反射型和DOM型三种形式。存储型XSS攻击是将恶意代码存储到服务器端,当用户访问包含恶意代码的页面时,恶意代码会从服务器端获取并执行;反射型XSS攻击是将恶意代码作为URL参数或表单提交到服务器端,服务器端将恶意代码返回给浏览器并执行;DOM型XSS攻击则是通过修改网页的DOM结构来实现攻击。 CSRF攻击则是利用用户已经登录认证的状态下,诱使用户点击恶意链接或访问恶意网页,从而触发已登录用户的操作。攻击者通过伪造请求,使用户在不知情的情况下执行了非自愿的操作。例如,攻击者可以通过发送包含恶意请求的图片链接或者钓鱼网站来实施CSRF攻击。CSRF攻击的关键在于利用了用户的身份认证信息。 综上所述,XSSCSRF的主要区别在于攻击的目标和实现方式。XSS攻击主要针对网页应用中的漏洞,注入恶意脚本代码;而CSRF攻击则利用用户已登录认证的状态下,伪造请求进行非自愿的操作。为了防范这两种攻击,开发者需要在编写代码时注意输入验证、输出编码以及限制权限等安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值