XSS、CSRF 及 SQL注入攻击及防御

最新推荐文章于 2024-08-31 00:26:53 发布
最新推荐文章于 2024-08-31 00:26:53 发布
阅读量551 收藏 1
点赞数
分类专栏: 网络协议 文章标签: sql html css
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HZ___ZH/article/details/111053980
版权
本文详细介绍了XSS、CSRF和SQL注入三种常见的Web安全攻击,包括它们的定义、攻击方式及防御措施。XSS攻击通过执行恶意脚本获取用户信息,防御手段包括CSP和HttpOnly。CSRF攻击利用受害者凭证执行操作,防御策略包括CSRF Token和Referer Check。SQL注入则是因为数据和代码混合导致,防止手段包括输入验证和参数化查询。
摘要由CSDN通过智能技术生成

一.XSS

1.什么是XSS

XSS 全称是 Cross Site Scripting(即跨站脚本),为了和 CSS 区分,故叫它XSS。XSS 攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并进行操作。

  • 窃取Cookie。
  • 监听用户行为,比如输入账号密码后直接发送到黑客服务器。
  • 修改 DOM 伪造登录表单。
  • 在页面中生成浮窗广告。

2.XSS 攻击的实现有三种方式——存储型、反射型和文档型

  • 存储型

存储型的 XSS 将脚本存储到了服务端的数据库,然后在客户端执行这些脚本,从而达到攻击的效果。 例如:留言评论区提交一段脚本代码

  • 反射型

反射型XSS指的是恶意脚本作为网络请求的一部分/参数。经过服务器,然后再反射到HTML文档中,执行解析。和存储型不一样的是,服务器并不会存储这些恶意脚本

攻击者可以直接通过 URL 
(类似:https://xxx.com/xxx?default=<script>alert(document.cookie)</script>
  • 文档型

文档型的 XSS 攻击并不会经过服务端,而是作为中间人的角色,在数据传输过程劫持到网络数据包,然后修改里面的 html 文档! 这样的劫持方式包括WIFI路由器劫持或者本地恶意软件等。

如何防御

  • 利用CSP

CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。
具体来说可以完成以下功能:
1.限制其他域下的资源加载。
2.禁止向其它域提交数据。
3.提供上报机制,能帮助我们及时发现 XSS 攻击。

通常可以通过两种方式来开启 CSP:
1.设置 HTTP Header 中的 Content-Security-Policy
2.设置 meta 标签的方式 <meta http-equiv="Content-Security-Policy">


例如:只允许加载本站资源
最低0.47元/天 解锁文章
Y or Z
关注
专栏目录
使用Filter针对Xss攻击sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
Web攻防之XSS,CSRF,SQL注入
weixin_30536513的博客
03-11 416
摘要:对Web服务器的攻击也可以说是形形色色、类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF攻击的产生原理,介绍相应的防范方法。 关键字:SQL注入XSSCSRF 1.SQL注入   所谓SQL注入攻击,就是攻击者把SQL命令插入到W...
常见网络攻击防御方法总结(XSSSQL注入CSRF攻击
xiaohui的博客
04-05 4430
  从互联网诞生之初起,无时无刻不存在网络攻击,其中XSS攻击SQL注入攻击是网站应用攻击的最主要的两手段,全球大约70%的网站应用攻击都来自XSS攻击SQL注入攻击。此外,常用的网站应用攻击还包括CSRF、Session劫持等。 1、 XSS攻击   XSS攻击即跨站点脚本攻击(Cross Site Script),指的是攻击者通过篡改网页,注入恶意的HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一攻击方式。   常见的XSS攻击类型有两,一是反射型,攻击者诱使用户点击一个嵌入恶
一文带你了解浏览器安全(XSSCSRF)
weixin_46714216的博客
08-31 859
XSS 攻击指的是跨站脚本攻击,是一代码注入攻击攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。攻击者可以通过这攻击方式可以进行以下操作:获取页面的数据,如DOM、cookie、localStorage;DOS攻击,发送合理请求,占用服务器资源,从而使用户无法访问服务器;破坏页面结构;
详解XSSCSRF
sanlyshi's front-end road
10-28 1773
https://www.cnblogs.com/zhouyyBlog/p/14505961.html
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2174
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击
【前端知识】浅谈XSSCSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1618
【前端知识】浅谈XSSCSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一攻击方式。常见的浏览器攻击主要包括跨站脚本攻击XSS)、跨站点请求伪造攻击CSRF)、DNS劫持攻击等。下面我们主要介绍两典型的攻击方式——XSS攻击CSRF攻击
xsscsrf(详解)
qq_62046696的博客
06-30 4313
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
WebGoat是一个开源的Web安全教育平台,旨在通过实践课程帮助用户理解并防御SQL注入XSS(跨站脚本攻击)、CSRF(跨
最新发布
09-12
webgoat通关WebGoat是一个开源的Web安全教育平台,旨在通过实践课程帮助用户理解并防御SQL注入XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等常见的Web安全漏洞。以下是WebGoat通关的一般步骤和建议: 一、注册与...
360提供的php防sql注入代码修改类
05-02
1. 使用预处理语句:预处理语句(如PDO或mysqli的预处理)可以使SQL语句和参数分离,有效避免注入攻击。 2. 参数化查询:与预处理类似,参数化查询能确保用户输入的数据不会被解析为SQL代码。 3. 输入验证:对用户...
Web安全开发:SQL注入攻击和网页挂马.pdf
09-19
下面我们将详细介绍SQL注入攻击和网页挂马的定义、原理、类型、危害、防御方法等方面的知识点。 一、SQL注入攻击 SQL注入攻击是指攻击者通过操纵Web应用程序的输入参数,来执行恶意的SQL代码,从而获取或修改敏感...
XSSCSRF 攻击——有什么区别,如何加以防护
HoewDec的博客
04-03 1683
在站点上存储攻击会放大攻击的严重性和可能性,因为受害者用户现在肯定会查看CSRF加载的页面,并且也会自然地对该页面进行身份验证。CSRF 攻击利用 Web 应用程序中的一个安全漏洞,该漏洞无法区分经过身份验证的用户会话中的错误请求和合法请求。这攻击迫使不知情的用户登录到黑客控制的帐户。在存储式跨站攻击中,注入的恶意代码被永久地存储在易受攻击的web应用程序的不同组件中,如数据库、评论字段、访客日志、消息论坛等。三、CSRF攻击的范围有限,仅限于用户可以执行的操作,例如点击恶意链接或访问黑客的网站。
对于XSSCSRF你究竟了解多少
2301_77512689的博客
04-24 462
在访问危险网站B的之前,你已经登录了银行网站A,而B中的以GET的方式请求第三方资源(这里的第三方就是指银行网站了,原本这是一个合法的请求,但这里被不法分子利用了),所以你的浏览器会带上你的银行网站A的Cookie发出Get请求,去获取资源“http://www.mybank.com/Transfer.php?c.第一点说了请求令牌理论上是可破解的,所以非常重要的场合,应该考虑使用验证码(令牌的一升级,目前来看破解难度极大),或者要求用户再次输入密码(亚马逊、淘宝的做法)。
XSSCSRF攻击方式总结
JunDao73的博客
02-16 5797
XSSCSRF攻击方式
weixin_43183219的博客
05-11 1590
什么是xss攻击,三xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击CSRF攻击的原理、特点以及xssCSRF的区别
XSS攻击CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
带你理解什么是xss攻击sql注入攻击csrf攻击防范措施
南余.的博客
07-06 8476
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSSCSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。这篇文章会介绍一些常见的安全问题及如何防范的内容,在当下其实安全问题越来越重要,已经逐渐成为前端开发必备的技能了。
Web安全之攻与防
qq_44005305的博客
01-14 79
Web安全问题在如今这个网络发达的背景下是十分重要的,现在不管是生活、社交还是其它方面都和网络息息相关,例如餐馆点餐都是扫描二维码点单了,如果发生安全问题将会是十分严重的。而且前两天面试了腾讯,一面面试官也问了关于Web安全相关的问题,回答的比较粗糙,所以就查找相关资料总结一下。
sql注入 xss攻击csrf攻击的区别
06-13
SQL注入XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是三常见的网络安全威胁,它们针对的应用场景和攻击机制有所不同。...1. 如何防止SQL注入攻击? 2. XSS攻击通常如何防御? 3. CSRF攻击如何通过令牌机制来防范
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值