CSRF SSRF XSS三者之间的区别及其流量(1)

于 2024-05-16 14:46:15 发布
阅读量440 收藏 7
点赞数 5
分类专栏: 程序员 文章标签: csrf xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84969363/article/details/138961198
版权

2.CSRF 跨站请求伪造攻击

CSRF的流量:

CSRF的防御:

SSRF 服务器端请求伪造

SSRF产生的原因:

XSS CSRF SSRF三者的区别:

1.XSS 跨站脚本攻击

XSS产生的原因:

  • Web应用对用户输入过滤不严谨
  • 攻击者写入恶意的脚本代码到网页中
  • 用户访问了含有恶意代码的网页
  • 恶意脚本就会被浏览器解析执行并导致用户被攻击

XSS的类型:

  • 反射型XSS
    • 非持久性跨站脚本的攻击
    • 攻击是一次性的,仅对当前的网站产生影响,不会存储到服务器
    • 攻击方式:攻击者将恶意脚本作为参数包含在URL中,当用户点击包含这些参数的链接时,恶意脚本就会被执行。
  • 存储型XSS
    • 持久性跨站脚本攻击
    • 攻击者把恶意代码存储在服务器上,攻击行为一直存在
    • 攻击方式:攻击者将恶意脚本存储到网站数据库中,当用户访问包含这些恶意脚本的页面时,就会触发XSS攻击
  • DOM型XSS
    • 既可能是反射型的,也有可能是存储型的
    • 基于文档对象模型的漏洞
    • 攻击方式:攻击者利用前端JavaScript对DOM进行操作的特性,通过修改DOM元素内容来执行恶意代码。
XSS攻击的危害:
  1. 盗取各类用户账号
  2. 控制企业数据
  3. 非法转账
  4. 网站挂马
  5. 控制受害者机器向其他网站发起攻击
如何验证是否存在XSS漏洞?
  1. 找到输入位置,比如输入框
  2. 找到输出位置(输入的代码在网页的那个位置进行了输出)
  3. 构造payload
XSS的流量分析:
  • 返回包中和请求包中返回相同的攻击语句
  • 返回包中的攻击语句仍包裹着script等标签
  • 返回包中的攻击语句未转译

三者均满足 表明xss注入成功

XSS防御手段:
  1. 输入过滤
  2. 输出编码
  3. 内容安全策略
  4. 黑白名单

2.CSRF 跨站请求伪造攻击

攻击原理:攻击者利用你的身份,以你的名义发送恶意请求

CSRF产生的原因:通常由于服务器没有对请求头做严格的过滤引起的。

CSRF攻击的两个条件:

  1. 登录受信任的网站A,并在本地产生了Cookie
  2. 在不退出A的情况下,访问了危险的网站B
CSRF的流量:
  • 从请求头中的Referer字段,判断请求是否从其它网站跳转而来
  • 观察请求中是否存在CSRF Token中
CSRF的防御:
  1. 验证 HTTP Referer 字段
  2. 增加 token并验证
  3. 在 HTTP 头中自定义属性并验证

危害:

  • 执行未授权操作
  • 盗取用户信息
  • 篡改用户数据
  • 利用用户权限
  • 影响网站功能

SSRF 服务器端请求伪造

SSRF产生的原因:

服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制

SSRF漏洞场景:

  • 分享
  • 转码
  • 在线翻译
  • 图片加载,下载
  • 图片,文章收藏
  • 未公开的API

URL中的关键字:

  • share
  • wap
  • url
  • link

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84969363
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSSCSRFSSRF原理
DigTomb的博客
04-19 227
CSRF原理 CSRF(Cross-site Request Forgery,跨站请求伪造) 1.定义: 被攻击者的浏览器被迫向目标站点发起了伪造的请求,这个过程会带上被攻击者的身份验证标识(session)以通过目标站点的验证。 从而借用被攻击者在目标站点上的权限进行一系列不被期望的操作。攻击者盗用了你在某个网站的身份,以你的名义发送恶意请求。 2.漏洞原理:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身使用户自愿发出的。 3.攻击流程 1、用户登录信任网站A 2、验证通过,在用户处
SSRF与CSRF
qq_48829044的博客
06-19 1700
ssrf的基础知识
CSRF SSRF XSS三者之间区别及其流量
最新发布
m0_73062138的博客
04-03 918
CSRF SSRF XSS三者之间区别及其流量
XSSCSRFSSRF
网络安全知识分享
09-22 8618
XSSCSRFSSRF相同不同修复方式面试题: 相同不同 相同点: XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 相同点: XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点: XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的脚本语句被执行。 CSRF(跨站请求伪造)是服务器端没有对用户
白帽子(4)-csrfssrf, xss区别
CPriLuke的博客
12-20 558
XSS攻击过程 攻击者发现xss漏洞 → 构造代码 → 发送给受害人 → 受害者打开 → 攻击者获取受害人的cookie → 完成攻击 攻击者:需要登录到后台完成攻击 CSRF攻击过程 攻击者发现xss漏洞 → 构造代码 → 发送给受害人 → 受害者打开 → 受害者执行代码 → 完成攻击 总结: CSRF攻击者只负责构造代码,攻击由用户实现,CSRF少了cooke获取的步骤,为什么少了呢?因为受害人在执行恶意代码的时候就已经外成了攻击,而攻击者并没有参与进来 ...
SSRF(服务器端请求伪造)漏洞流量特征
weixin_71061514的博客
11-07 486
SSRF服务器端请求伪造漏洞流量特征
XSS攻击流量走向
keizhige的博客
06-17 541
XSS 攻击分类有哪些
XSSCSRFSSRF漏洞的攻击原理以及防御
qq_57307348的博客
02-24 1195
XSS xss:跨站脚本攻击,不需要做任何的登录认证,通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本程序或者攻击者在Web页面里插入恶意script代码,当用户浏览该页之时,嵌入Web里面的script代码会被执行,从而达到恶意攻击用户的目的。 攻击条件 向web页面注入恶意代码 这些恶意代码能够被浏览器成功的执行 攻击原理 xss漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后, 在输到前端时被浏览器当作有效...
XSSCSRFSSRF漏洞原理以及防御方式
Love_Naive的博客
09-03 5310
这里写目录标题XSSXSS攻击原理:XSS的防范措施主要有三个:编码、过滤、校正CSRFCSRF攻击攻击原理及过程如下:CSRF攻击的防范措施:SSRFSSRF漏洞攻击原理以及方式SSRF漏洞攻击的防范措施XMLXSSCSRFSSRF的区别XSSCSRF区别 XSS XSS(Cross Site Scripting):跨域脚本攻击。 XSS攻击原理: 不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 X
csrfssrf漏洞的原理是?如何防御和利用csrfssrf漏洞
DXfighting_的博客
04-14 935
Csrf原理: CSRF是一种依赖web浏览器的、被混淆过的代理人攻击。 防御csrf漏洞: 验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header Ssrf漏洞原理: 很多web应用都提供了从其他的服务器上获取数据的功能。使用指定的URL,web应用便可以获取图片,下载文件,读取文件内容等。SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般情况下, SSRF攻击的目标是外网无法访问的内部系统,黑客可以利用S
告警流量特征分析(护网蓝初面试干货)
Welcome To Myon'Blog !
06-09 6308
一、流量特征 1、SQL注入 2、XSS 3、挖矿行为 二、webshell流量特征 1、中国菜刀 2、蚁剑 3、冰蝎 三、对告警流量分析 1、信息泄露 2、SQL注入 3、文件上传 4、XSS 5、代码执行
常见的 CSRFXSS、sql注入、DDOS流量攻击
weixin_30426957的博客
07-06 64
CSRF攻击 :跨站请求伪造攻击 ,CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRFXSS更具危险性 攻击者一般会使用吸引人的图片去引导用户点击进去他设定好的全套,然后你刚登录的A网站没有关闭,这时候攻击者会利用JS事件去模拟用户请求A网站信息,从而就得到了目的。预防措施:为表单提交都加上自己定义好的token然后加密好,后台也一样的规则然后...
Wireshark 分析常见 Web 攻击的流量特征
weixin_51559599的博客
12-08 5506
攻击者在输入字段中插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
XSS简述
m0_48907714的博客
04-13 3093
XSS跨站漏洞产生原理,危害,特点? 本质,产生层面,函数类,漏洞操作对应层,危害影响,浏览器内核版本等 Xss跨站漏洞分类 反射型(会经过后端服务器) 存储型 DOM型(也是反射型,它不经过后端服务器,只经过前端渲染) 正常情况下,只有存储型才有作用 >onclick="alert (2) " <script>alert (2)</script> 实例:获取cooick 接收端: <?php $cookie = $_GET['cookie'];//获取cookie $
CSRF 的基本概念特性
caoliangbo的博客
11-24 563
CSRF 的基本概念特性   注:非原创,最近在做项目的安全,找了些不错的资料研究,很有意思           跨站请求伪造(CSRF)的是 Web 应用程序一种常见的漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量 Web 2.0 技术的应用的背景下,CSRF 攻击完全可以在用户法毫无察觉的情况下发起攻击。国际上并未对 CSRF 攻击做出一个明确的定义,同时,攻击的发起手段方...
web渗透工程师——初级面试总结
m0_61506558的博客
10-12 2700
根据sql注入各自的特点可以分为联合注入、二次注入、宽字节注入、堆叠注入等,根据http报文中的不同位置可以有cookie注入、referer注入、x-forwarded-for注入等。产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。大小写绕过 、编码绕过、注释绕过、关键字/关键函数替换、参数污染、缓存区溢出、特殊符号。
初级蓝队面经(预测部分)
m0_65041566的博客
06-15 1050
蓝队初级预测
经典漏洞流量分析
m0_57327934的博客
12-11 472
如果服务器允许从远程位置包含文件,并且没有进行充分的安全检查,攻击者可以将恶意脚本或可执行代码上传到一个公共位置,并通过文件包含漏洞将其包含并执行。:当这些文件读取函数所使用的参数是来自用户的输入时,如果没有对输入进行充分的过滤和验证,攻击者就可以通过修改这些参数值来读取任意文件。:当这些包含函数所使用的参数是来自用户的输入时,如果没有对输入进行充分的过滤和验证,攻击者就可以通过修改这些参数值来包含任意文件。:如果攻击者成功地将恶意文件的路径传递给包含函数,那么该恶意文件的内容就会被包含并执行。
【网络安全】CSRF攻击详解
技术研究中心
10-17 469
目录 什么是CSRF攻击 CSRF攻击的流程 常见的CSRF攻击类型 CSRF漏洞测试 预防CSRF攻击 参考 什么是CSRF攻击 CSRF(Cross-Site Request Forgery)的全称是“跨站请求伪造”,也被称为“One Click Attack”或者“Session Riding”,通常缩写为CSRF或者...
以下php代码会造成 (2分) A SQL注入 B XSS C SSRF D CSRF
06-08
代码如下: ```php if(isset($_GET['submit'])){ $username = $_GET['username']; $password = $_GET['password']; $sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'"; $result = mysqli_query($conn, $sql); if(mysqli_num_rows($result) > 0){ echo "Login Success"; } else{ echo "Login Failed"; } } ``` 该代码存在SQL注入漏洞,攻击者可以在`username`或`password`参数中注入恶意SQL语句,从而导致数据库被攻击者控制,或者获取到敏感信息。 答案:A SQL注入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值