前端知识库-前端安全系列一(攻防)

VIP文章 于 2023-02-09 18:00:00 发布
阅读量230 收藏
点赞数
文章标签: 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GJ_ia/article/details/128950384
版权

前言

最近重新整理了下自己的前端相关知识,在前端安全这个领域由于最近两年做的事内部项目,对此没有太多的实际应用,借此机会重新去了解下,俗话说温故而知新,从故有的知识中总结获取新的知识才是我们进步的基础。

前端安全

跨站点请求伪造(CSRF)

在国内互联网刚发展阶段,网站的CSRF漏洞还是比较多的。假设我们是攻击者,那当被攻击网站满足以下几个条件是,我们就可以顺利的进行CSRF攻击:

  • 用户登录被攻击网站,并且保存的cookie信息
  • 用户打开另一个tab访问我们的恶意网站
  • 被攻击网站未做任何CSRF防护

攻击流程

当你的网站满足上面三个条件了,那当前登录用户的信息对于恶意网站而言就是完全透明的了,下面说说攻击流程:

  • 用户打开A网站
  • 登录A(XSRF漏洞)
  • 生成登录cookie
  • 同个浏览器B(伪造攻击网站)
  • B网站通过脚本获取A的cookie并发送给攻击者后台
  • 攻击者拿到cookie 通过cookie获取用户信息

如何防范

通过分析可以发现XSRF攻击方式是通过钓鱼网站拿到cookie,然后

最低0.47元/天 解锁文章
GJ_ia
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AHZY-内网安全攻防2020-01-12 内网安全攻防知识分享
08-21
AHZY-内网安全攻防2020-01-12 内网安全攻防知识分享,第18章节ppt
前端安全,常见的攻击类型以及如何防御
yiyueqinghui的博客
10-29 1665
CSRF攻击 1. 什么是CSRF攻击 CSRF即Cross-site request forgery(跨站请求伪造),是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 假如黑客在自己的站点上放置了其他网站的外链,例如www.weibo.com/api,默认情况下,浏览器会带着weibo.com的cookie访问这个网址,如果用户已登录过该网站且网站没有对CSRF攻击进行防御,那么服务器就会认为是用户本人在调用此接口并执行相关操作,致使账号被劫持。 2. 如何防御CSRF攻击 1.验
学习笔记-前端攻防
人饭子的博客
11-02 109
前端攻防 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 前端加解密 相关文章 浅析前端加密后数据包的修改方法 浅谈web安全前端加密 当爆破遇到JS加密 相关案例 H5页面漏洞挖掘之路-加密篇 挖洞小技巧--JS简单逆向 技术讨论 | 如何对经前端加密后的数据进行爆破 对某webvpn系统加解密分析 WEB非实用之JS...
Web 前端攻防 2014
Just Code
07-25 157
禁止一切外链资源 外链会产生站外请求,因此可以被利用实施 CSRF 攻击。   目前国内有大量路由器存在 CSRF 漏洞,其中相当部分用户使用默认的管理账号。通过外链图片,即可发起对路由器 DNS 配置的修改,这将成为国内互联网最大的安全隐患。   案例演示 百度旅游在富文本过滤时,未考虑标签的 style 属性,导致允许用户自定义的 CSS。因此可以插入站外资源:   ...
前端安全,简单介绍
WLANQY的博客
02-07 95
7.SRI (subresource intergrity 子资源的完整性)1.index.html中的 index.js 文件存放在cdn上2.用户在请求的时候,根据index.js去氢气,而这个文件可能被篡改3.打包的时候根据js文件内容生成一个hash值,并把这个hash值作为intergrity属性注入到script上。用户代码目标网站的时候,服务端将恶意代码从数据库中取出,拼接到html返回给浏览器。每次页面加载的时候,前端吧获取到token,加请求的header上。
前端安全知识
weixin_34372728的博客
10-11 289
原文连接 https://jkchao.cn/article/59d... XSS xss: 跨站脚本攻击(Cross Site Scripting)是最常见和基本的攻击 WEB 网站方法,攻击者通过注入非法的 html 标签或者 javascript 代码,从而当用户浏览该网页时,控制用户浏览器。 xss 主要分为三类: DOM x...
AHZY-内网安全攻防2020-01-12 内网安全攻防知识分享,第一章节ppt
08-20
AHZY-内网安全攻防2020-01-12 内网安全攻防知识分享,第2章节ppt
AHZY-内网安全攻防2020-01-12 内网安全攻防知识分享,
08-20
AHZY-内网安全攻防2020-01-12 内网安全攻防知识分享,第一章节ppt
AHZY-内网安全攻防2020-01-12 内网安全攻防知识分享,
08-21
AHZY-内网安全攻防2020-01-12 内网安全攻防知识分享,第21章节ppt
前端攻击
wjiafengw的博客
10-29 581
参考 ---《白帽子讲web安全》   1:XSS(cross site script),跨站脚本攻击   1.1反射性XSS(将用户输入直接反射在浏览器上) 例子: 用户将参数直接输出在页面上: <?php $input = $_GET("param"); echo "<div>".$input."</div>"; ?> 正常情况下在UR..
前端攻防(XXS、CRSF、sql注入)
qq_31392495的博客
10-21 1901
一、XXS跨站脚本攻击 原理:恶意攻击者在web页面中插入一些恶意的script代码。 攻击类型:丰持久性XSS攻击(反射型和DOM-base型)和持久性XSS攻击(存储型) 1.1 反射型 攻击步骤: 攻击者将恶意XSS代码写在目标网站url的search中,将url发给受害者 受害者用户打开该页面,XSS代码作为输入提交到服务端,服务端将XSS代码从url中取出拼接到html中返回给浏览器 浏览器解析html的同时会执行XSS恶意代码 恶意代码执行后,获取用户信息并发送到攻击者的服务器 攻击者
JS 前端常见的攻击
ct_ts的博客
04-10 2672
前端安全问题一直是面试经常问到的问题,也是我们平时建站会遇到的问题,今天来记录一下前端安全方面的相关知识。 前端经常遇到的攻击有 XSS CSRF 网络劫持 控制台注入 XSS攻击(跨站脚本攻击) 问题: 简单来说,XSS指的就是代码注入,它利用的是html的一些漏洞来进行注入脚本,比如插入一个script标签<script>,或者直接进行页面弹窗,更有可能通过你的inp...
web前端攻击详解
lidiya007的博客
10-20 6354
前端攻击成因   在web网页的脚本中,有些部分的显示内容会依据外界输入值而发生变化,而如果这些声称html的程序中存在问题,就会滋生名为跨站脚本的安全隐患 XSS跨站脚本攻击:   英文全称cross-site-scripting,为了区别于cascading style sheets层叠样式表(CSS),因此缩写为XSS。 Web应用程序中,如果存在XSS漏洞,就会有以下风险: 1、
浅谈前端攻防--XSS攻击和防御!!!
T_SmileEyes的博客
08-07 434
                                                           【书山有路勤为径,学海无涯苦作舟】                                                                                                              ...
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1711
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
前端JS攻防对抗
RZY_gssp的博客
08-22 234
前言:本篇文章在某号中搬运过来的,对于网络安全讲解很详细...本人也是初学者希望大家一起努力💪 正文从这开始~~ 网络爬虫 —— 一种让网站维护人员长期头痛的存在。网站维护人员既要考虑为搜索引擎开方便之门,以便提升网站排名、广告引入等,又要应对恶意爬虫所带来的危害,如数据被非法获取,甚至出售。因此,爬虫和反爬虫一直是场旷日持久的战斗。 爬虫的开发从最初的简单脚本到 PhantomJs、selenium 再进化到 puppeteer、playwright 等,和浏览器结合越来越密切。
XSS攻击及防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
Web前端攻击方式及防御措施
少女心の程序媛
02-28 6276
一、XSS 【Cross Site Script】跨站脚本攻击 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 1、Reflected XSS 基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击。Web客户端使用Server端脚本生成页面为用户提供数据时,
网络安全知识竞赛题库 csdn
最新发布
11-05
CSDN 网络安全知识竞赛题库是一个专业的在线竞赛平台,旨在提供全面的网络安全知识测试,帮助用户提升网络安全素养。题库中包含了各个方面的网络安全知识,涵盖了网络攻防、漏洞利用、密码学、防火墙、入侵检测等多...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值