XSS、CSRF

最新推荐文章于 2024-04-09 18:00:00 发布
最新推荐文章于 2024-04-09 18:00:00 发布
阅读量130 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NuanNong/article/details/105247420
版权

https://blog.csdn.net/xiaoxinshuaiga/article/details/80766369

 

 

xss:
htmlencode转义

csrf: 

1.referer验证

根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如需要访问 http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory,用户必须先登陆 bank.example,然后通过点击页面上的按钮来触发转账事件。这时,该转帐请求的 Referer 值就会是转账按钮所在的页面的 URL,通常是以 bank.example 域名开头的地址。而如果黑客要对银行网站实施 CSRF 攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行时,该请求的 Referer 是指向黑客自己的网站。因此,要防御 CSRF 攻击,银行网站只需要对于每一个转账请求验证其 Referer 值,如果是以 bank.example 开头的域名,则说明该请求是来自银行网站自己的请求,是合法的。如果 Referer 是其他网站的话,则有可能是黑客的 CSRF 攻击,拒绝该请求。

dosearch中加:

checkSameSource(this.getRequest(),this.getResponse());


public void checkSameSource(HttpServletRequest request, HttpServletResponse response)
    throws Exception
  {
    String method = request.getMethod();
    if ("post".compareToIgnoreCase(method) != 0) {
      response.setStatus(403);
      throw new Exception("无效的请求");
    }
    String referer = request.getHeader("referer");
    if ((referer == null) || (referer.length() == 0)) {
      response.setStatus(403);
      throw new Exception("无效的请求");
    }
    URL refererUrl = new URL(referer);
    if (!request.getServerName().equals(refererUrl.getHost())) {
      response.setStatus(403);
      throw new Exception("无效的请求");
    }
  }

删掉build-impl.xml 314中;
 <compilerarg line="${endorsed.classpath.cmd.line.arg}"/>
                    <compilerarg line="${javac.compilerargs}"/>
                    <compilerarg value="-processorpath"/>
                    <compilerarg path="@{processorpath}:${empty.dir}"/>
                    <compilerarg line="${ap.processors.internal}"/>
                    <compilerarg value="-s"/>
                    <compilerarg path="@{apgeneratedsrcdir}"/>
                    <compilerarg line="${ap.proc.none.internal}"/>
                    <customize/>
 

陈之之爱编程
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF+Self XSS
newlife1441的博客
08-16 580
CSRF,跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。。防御原理:由于服务端没有对客户端进行身份校验,所以我们可以通过添加令牌token、验证码等方法来防御csrfCSRF 利用的是网站对用户浏览器的信任。Self XSS,自己输入xss脚本,输出仅自己看到,仅xss。............
jwt_sessions:专为SPA设计的XSSCSRF安全JWT身份验证
01-28
jwt_sessions 专为SPA设计的XSS / CSRF安全JWT身份验证目录--概要这个gem的主要目标是提供基于JSON Web令牌的可配置,可管理和安全的有状态会话。 gem在后端存储了基于JWT的会话(当前支持Redis和内存存储),从而...
Java获取URL链接的host
热门推荐
chuang504321176的博客
07-03 1万+
Java获取URL链接的host import java.net.MalformedURLException; import java.net.URL; /** * 获取链接的host */ public class URLUtils { public static String getHost(String link) { URL url; St...
SpringBoot安全验证之Referer拦截器
跟派大星学编程
04-11 1万+
自定义Referer拦截器 public class RefererInterceptor extends HandlerInterceptorAdapter { // URL匹配器 private AntPathMatcher matcher = new AntPathMatcher(); @Autowired private RefererProperties ...
XSSCSRF
MartinTeoZhang的博客
09-18 143
参考:https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/ https://www.cnblogs.com/yangsg/p/10621496.html# XSS攻击 XSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。有很
xss csrf
Dafei4的博客
01-13 248
csrf 跨站请求伪造 xss 跨站脚本攻击
XSSCSRF、SSRF漏洞原理以及防御方式_xss csrf ssrf
ewii12567的博客
04-09 1371
特别是对于当前现有的系统,不需要改变当前系统的任何已有代码和逻辑,没有风险,非常便捷。XSS插入的话,一般是动态页面,但是有些是静态页面,不会和数据库发生交互,这就大大提高了安全性,我们就很难XSS了,而考虑到这一点,很多开发也把动态页面假装弄成静态页面,这种页面称为:伪静态页面;
XSS CSRF SSRF
Daoke37的博客
03-19 357
XSS (跨站脚本攻击) 不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 类型:反射型XSS、存储型XSS、DOM型XSSS; 防范:XSS的防范措施主要有三个:编码、过滤、校正 设置xss filter 定制过滤策略 输出编码 黑名单白名单 设置http only CSRF(跨站请求伪造) CSRF(Cross-site request forgery):跨域请求伪造,也被称为One Click Attack或
XSSCSRF 与 SQL注入
qq_40821997的博客
06-05 399
跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。flask 模仿csrf攻击 与 保护:https://www.cnblogs.com/love2000/p/13678360.html(1)场景一(2)场景二跨站请求可以用什么方式:CSRF常见的攻击类型: (1)GET类型的CSRF(2)
XSS,CSRF和DDoS
weixin_54218079的博客
07-31 944
还有一个问题是一般不会只有一台网站服务器,如果请求经过负载平衡转移到了其他的服务器,但是这个服务器的session中没有保留这个token的话(Session默认存储在单机服务器内存中,因此在分布式环境下同一个用户发送的多次HTTP请求可能会先后落到不同的服务器上,导致后面发起的HTTP请求无法拿到之前的HTTP请求存储在服务器中的Session数据,从而使得Session机制在分布式环境下失效),就没有办法验证了。在这个攻击过程中,攻击者借助受害者的Cookie骗取服务器的信任,但。...
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
在网络安全领域,XSS(Cross-Site Scripting)和CSRF(Cross-Site Request Forgery)是两种常见的攻击手段,而HTML注入则是它们的一种利用方式。这个“xss+csrf+html练习源码.rar”文件提供了针对这些漏洞的实战练习...
PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRFXss、CC等)
10-26
主要介绍了PHP开发中常见的安全问题详解和解决方法,详细介绍了例如Sql注入、CSRFXss、CC等攻击手段的背景知识以及解决方法,需要的朋友可以参考下
跨站攻击(XSS+CSRF).docx
01-05
总结来说,XSSCSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
XSS+CSRF组合拳
weixin_50464560的博客
03-12 2359
0x00 前言 今天学习一下 XSS + CSRF 组合拳,现将笔记记录如下。 0x01 靶场环境 本机(Win):192.168.38.1 DVWA(Win):192.168.38.132 Beef(Kali):192.168.38.129 0x02 组合拳思路 第一拳:存储型 XSS + CSRF(存储型 XSS 攻击代码中加入 CSRF 代码链接) 第二拳:CSRF + SelfXSSCSRF 代码中加入 SelfXSS 代码) 0x03...
分包合同计量单.docx
最新发布
07-13
分包合同计量单.docx
树莓派简介PPT课件.ppt
07-13
树莓派简介PPT课件.ppt
项目债务盘点明细表.docx
07-13
项目债务盘点明细表.docx
xss+csrf组合拳
09-20
XSSCSRF是两种常见的网络安全漏洞。当它们结合在一起时,会构成一种更加危险的攻击方式,被称为"XSS CSRF组合拳"。下面是一种可能的攻击方式: 1. 攻击者在恶意网站B中插入CSRF payload,并使用该CSRF payload修改用户在A网站的昵称为XSS payload。 2. 攻击者诱使用户访问恶意网站B,触发CSRF payload,导致用户在A网站的昵称被修改为XSS payload。 3. 当用户重新访问A网站时,XSS payload会被触发,从而获取到用户的Cookie信息。 为了防御这种攻击,可以采取以下措施: 1. 在服务端对用户输入进行严格的过滤和验证,特别是在对用户输入进行展示的地方,避免将用户输入作为代码执行。 2. 对于敏感操作,使用CSRF Token来验证请求的合法性。确保每个请求都包含一个随机生成的Token,并在服务端验证该Token的有效性。 3. 在Cookie中使用HttpOnly属性,以防止JavaScript通过document.cookie来获取Cookie信息。 4. 设置合适的Content Security Policy (CSP)来限制页面中可以加载的资源和代码。 以上是一种常见的XSS CSRF组合拳攻击方式以及相应的防御措施,但仍然有其他的攻击方式和防御策略。建议综合使用多种防御措施以提高系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值