XSS 和 CSRF 攻击

最新推荐文章于 2024-07-12 19:48:55 发布
最新推荐文章于 2024-07-12 19:48:55 发布
阅读量178 收藏
点赞数
分类专栏: 初级 文章标签: 网络安全 安全 密码学 ddos c# Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AzulSystems/article/details/129316274
版权

XSS

XSS,即 Cross Site Script,中译是跨站脚本攻击。XSS本质是Html注入,攻击者在网站上注入恶意的js代码,对客户端页面进行篡改,进而窃取隐私数据比如cookie、session,或者重定向到不好的网站等。

XSS场景再现

  • 使用url参数攻击:https://www.baidu.com?jarttoTest=<script>alert(document.cookie)</script>,这种是反射型的XSS,攻击是一次性的。简单来说就是:引导用户点击恶意链接,链接上的js代码被发送至服务器,而服务器将不加处理的脚本又返回至客户端,此时用户客户端就会执行js代码。* 有人在留言内容中插入恶意js,服务器将该内容放入数据库中,此时,每当有人访问这个留言,就会执行这个恶意js。这是存储型XSS。### XSS注入方法

  • 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。

  • 在内联的 JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名等)。

  • 在标签属性中,恶意内容包含引号,从而突破属性值的限制,注入其他属性或者标签。

  • 在标签的 href、src 等属性中,包含 javascript: 等可执行代码。

  • 在 onload、onerror、onclick 等事件中,注入不受控制代码。

  • 在 style 属性和标签中,包含类似 background-image:url("javascript:..."); 的代码(新版本浏览器已经可以防范)。

  • 在 style 属性和标签中,包含类似 expression(...) 的 CSS 表达式代码(新版本浏览器已经可以防范)。

防范措施:

  • 不要相信用户输入: 对用户输入内容进行过滤。对特殊字符进行实体转义。

  • 不要完全信任服务端:对服务端输出进行转义。

  • 使用HttpOnly Cookie:将重要的cookie标记为httponly,这样就无法使用js代码获取cookie。

  • 需要转义的字符有:

字符

转义后字符

&

&

<

<

>

>

"

"

'

&#x27;

/

&#x2F;

xss参考文章:这里

CSRF

即 Cross Site Request Forgery,中译是跨站请求伪造。未经用户许可,偷偷的使用用户名义,发送恶意请求的攻击。通常情况下借助用户cookie来骗取服务器信任。

CSRF 特点

  • CSRF(通常)发生在第三方域名。

  • CSRF攻击者(通常)不能获取到Cookie等信息,只是使用。

防范措施:

  • 同源监测

  • CSRF Token: 需要服务端生成一个Token,然后放在页面中,页面提交请求的时候,带上这个Token。服务端把Token从Session中拿出,与请求中的Token进行比对验证。

  • Samesite Cookie属性:

gool奇米
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解XSS攻击CSRF攻击
马小兜要努力呀
07-23 671
什么是XSS攻击XSS中文名称就是跨站脚本攻击XSS的重点不在于跨站点而在于脚本的执行,那么XSS的原理是:恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中的script代码会执行,因此会达到恶意攻击用户的目的。XSS攻击分为如下几类:反射型、存储型、DOM-based型,反射型和DOM-based型可以归类为非持久的XSS攻击,存储型可以归类为持久性的XSS攻击。 反射型XSS 简而言之,代码出现在url中,作为输入提交到服务器端 原理:反射型
XSS攻击CSRF攻击
qq_52314054的博客
11-27 212
一、CSRF攻击 1.CSRF攻击方式 攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 (1)CSRF通常发生在第三方域名 (2)CSRF通常不能获取用户cookie信息,但是可以直接使用cookie信息 2.完成CSRF攻击必须有两个步骤 (1)用户登录通过输入个人信息登录正确网站a (2)用户在未登出个人信息的情况下访问危险网站b 3.CSR
总结 XSSCSRF 两种跨站攻击
renfengmei技术博客
03-27 584
XSS:跨站脚本(Cross-site scripting) CSRF:跨站请求伪造(Cross-site request forgery) 在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代, 参数化查询 已经成了普遍用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSSCSRF 却没有远离
CSRF02】跨站请求伪造——DVWA靶场实操(含CSRF+XSS协同攻击实验)
Fighting_hawk的博客
03-15 6863
1. 掌握网页相关语言中各种标签的运用; 2. 灵活使用XSS注入代码; 3. 掌握CSRF攻击的方法; 4. 掌握XSS+CSRF协同攻击的方法。
【小笔记3】跨站脚本攻击XSS)和跨站请求伪造(CSRF)是什么,如何对两种安全漏洞进行对应的安全防护措施?
weixin_41471759的博客
08-02 331
3)HttpOnly和Secure属性设置:在设置Cookie时,使用HttpOnly和Secure属性,限制Cookie只能通过HTTP请求访问,防止恶意脚本通过document.cookie获取到Cookie信息。攻击者盗用用户了用户身份,以用户名义发送恶意请求,常见于用户被诱导点击了攻击者提供的链接或访问了恶意网站时,攻击者可以对用户已登录的网站发起请求,执行一些权限内的操作。3)敏感操作进行二次验证:对于一些敏感操作,如修改密码、支付等,要求用户进行二次验证,例如输入密码、验证码等。
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
TokenBasedSafe:一个展示针对XSSCSRF攻击的防护的网站
04-29
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的Reactjs... 该网站用于演示针对XSSCSRF攻击的防护
XSSCSRF两种跨站攻击总结
02-26
但是,历史同样悠久的XSSCSRF却没有远离我们。由于之前已经对XSS很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过Tidy之类的过滤,我一定会在模板输出时候全部转义。所以个人感觉,要避免...
跨站攻击(XSS+CSRF).docx
01-05
3. 从攻击者和受害者角度理解CSRF攻击,实施Low、Medium、High等级的CSRF攻击。 4. 学习并实践CSRF的修复措施,如使用CSRF Token等。 5. 撰写实验报告,注重规范性、逻辑性和表达清晰度。 实验过程中,学生将使用...
【学习笔记】Web安全测试,渗透测试之XSS/CSRF/撞库攻击等业务应用安全漏洞案例解析及学习笔记整理
哥老倌的博客
07-25 803
【业务应用安全漏洞】 1.XSS: ①全称:Cross Site Script(跨站脚本) ②目的:为了与层叠样式表css区分,将跨站脚本简写为XSS ③危害:原则是将一段JavaScript代码注入网页。然后当其他用户访问该页面时,他们将运行黑客编写的JS代码来实现一些帐户控制,盗取用户信息、钓鱼、制造蠕虫等。 ④概念:黑客通过“HTML注入”篡改了网页,插入了恶意脚本,从而在用户在浏...
XSS跨站脚本攻击+CRSF/XSSF跨站伪造请求
weixin_30512043的博客
07-28 129
XSS攻击跨站脚本攻击   跨站脚本攻击 黑客在网页里边插入js代码,造成网页紊乱不安全。  不安全的表现:如果黑客在一个网页中插入拿到cookie的js代码,如果用户来访问这个网站,那么黑客就可以拿到用户的cookie信息,那么黑客就可以伪造用户的信息去了。   前端有个safe和后端mark_safe   使用safe要注意 如果用户能在页面上插入写js代码等等(修改代码),一定不...
黑客带你上手web安全攻防、三种漏洞【XSSCSRF和文件上传】彻底掌握常见web安全漏洞
jennycisp的博客
06-27 1266
XML是一种非常流行的标记语言,在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。外部实体对于在文档中创建动态引用非常有用,这样对引用资源所做的任何更改都会在文档中自动更新。但是,在处理外部实体时,可以针对应用程序启动许多攻击。这些攻击包括泄露本地系统文件,这些文件可能包含密码和私人用户数据等敏感数据,或利用各种方案的网络访问功能来操纵内部应用程序。
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1528
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击CSRF攻击的原理、特点以及xssCSRF的区别
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2099
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击
XSSCSRF两种攻击方式总结
JunDao73的博客
02-16 5759
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8335
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
DNSSec:网络安全的守护者
jiamisoft的博客
07-12 390
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 1336
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。
安全防御-用户认证综合实验
最新发布
weixin_69863399的博客
07-12 413
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
xsscsrf的区别
07-20
CSRF攻击则是利用用户已经登录认证的状态下,诱使用户点击恶意链接或访问恶意网页,从而触发已登录用户的操作。攻击者通过伪造请求,使用户在不知情的情况下执行了非自愿的操作。例如,攻击者可以通过发送包含恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值