大家学习时,应该都听过sql注入,上传,xss攻击,csrf,一句话木马等,写这个也是为了让我更好的去学习,现在的还是个小白,当个笔记来写的;刚开始应该熟悉一些关键词就上面说的,我对csrf是挺陌生的,于是就先查了查cstf;
CSRF:(Cross-site request forgery)跨站请求伪造,听着和xss差不多,但我在百度中查到的是他们两个是不同的;
csrf原理:发现csrf漏洞-->构造代码(用来完成自己入侵目的)-->发给受害人并打开-->代码执行-->攻击完成
是不是感觉其实大致差不多,但是他们确实不同,csrf代码打开后直接完成攻击,而xss攻击不是,xss的攻击下面会提到;如果想深入了解csrf,http://www.freebuf.com/articles/web/55965.html。
简单来说csrf就是 利用第三方用户的身份来完成攻击 ,假如第三方用户是x网站管理员,当时他正在管理 x网站,登入了网站后台,这时攻击者构造了一段代码(木马网页或其他)发送给个管理员,并成功欺骗了他,在他没有关闭x网站后台管理时,打开了木马网页,这时木马网页执行给x网站又添加一个管理员(也可以是其他目的);这就造成了网站的不安全等;
xss攻击:(cross site script)跨站脚本攻击;
xss原理 :发现xss漏洞—>构造代码——>发给受害人并打开——>获取受害人的cookie——>攻击完成
xss是在代码中嵌套恶意代码来完成攻击的,达到攻击者的目的,简单的来说就是: 在浏览网页时你可以按下F12查看网站的源码,我们要写入的xss代码就和那些源码有关;我们在网页中都见过用过输入框(比如百度的搜索框,相信大家都用过),他的源码格式<input type="text" name=ak value="" >;我们输入的值传入了value里,如果我们传入"><....恶意代码.......",代码是不是就改变了<input type="text" name=ak value=" "><....恶意代码......." " >;我说的这种只是一种举例并不带你这样输入之后就能执行恶意代码,网页如果那么脆弱你每天就看不了网页了;这里只是让你能更好的理解;
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
