XSS与CSRF

最新推荐文章于 2024-06-17 12:28:35 发布
最新推荐文章于 2024-06-17 12:28:35 发布
阅读量1.1k 收藏 1
点赞数 2
分类专栏: 安全 文章标签: Web安全 XSS CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/afterlake/article/details/91366396
版权

XSS和CSRF是黑客进行Web攻击的两个常用手段,主要目的是绕过浏览器同源策略,非法获取信息资源

 

XSS(Cross Site Scripting):跨站脚本

虽然名字里带“跨站”,但是可以略过,直接看“脚本”。XSS时发生在浏览器渲染HTML时执行了不被预期的脚本指令的一种安全漏洞。

XSS的主要类型:

反射型XSS:利用动态网页特性,将恶意代码的数据提交到服务器,服务器又返回到浏览器,这时浏览器会当作正常响应执行

储存型XSS:依旧是利用动态网页特性,只不过服务器会将恶意代码储存,以后每次渲染网页都将携带恶意代码,影响比反射性要恶劣

DOM XSS:与上述两者的区别在于,DOM型XSS并不依赖服务器端,可以感染静态网页。

XSS的防范策略:

要求开发人员对于任何的用户输入要持有怀疑态度,在渲染HTML的时候采取安全的渲染策略,如对用户输入进行转义

 

CSRF(Cross-Site Request Forgery):跨站请求伪造

非常容易同XSS混淆,但是CSRF有两个关键词:跨站请求伪造

CSRF的主要攻击手段为在恶意网页插入目标网站的链接,当目标用户点击恶意网页时,浏览器会同时请求目标网站,如果此时浏览器恰好储存了目标网站的身份认证信息,攻击完成

CSRF的防范策略:

对于服务器资源的写操作尽量避免使用GET请求,同时对POST操作加入CSRF_TOKEN验证(目前Web框架基本都带有此功能)

使用验证码

校验Referer

总结:

Web安全对于开发人员的安全意识要求比较高,主要是因为攻击方和防御方的实力、成本都是不对等的。正所谓“思则有备,有备无患”。

魔笛手CTO
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2110
Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击
XSS攻击CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
xsscsrf(详解)
qq_62046696的博客
06-30 4126
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
Web安全XSSCSRF以及如何防范
最新发布
2401_84617080的博客
06-17 333
XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。
【前端知识】浅谈XSSCSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1540
【前端知识】浅谈XSSCSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式。常见的浏览器攻击主要包括跨站脚本攻击XSS)、跨站点请求伪造攻击CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击CSRF攻击
XSSCSRF
php_martin的博客
08-13 366
XSSCSRF
XSSCSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
在网络安全领域,XSS(Cross-Site Scripting)和CSRF(Cross-Site Request Forgery)是两种常见的攻击手段,而HTML注入则是它们的一种利用方式。这个“xss+csrf+html练习源码.rar”文件提供了针对这些漏洞的实战练习...
跨站攻击(XSS+CSRF).docx
01-05
总结来说,XSSCSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
XSSCSRF两种攻击方式总结
JunDao73的博客
02-16 5768
详解XSSCSRF
sanlyshi's front-end road
10-28 1747
https://www.cnblogs.com/zhouyyBlog/p/14505961.html
XSSCSRF原理及防御
楚楚梦厦的博客
11-02 3817
1. XSS是什么 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等 XSS 常见的注入方法: 在 HTML 中,恶意内容以 script 标签形成注入。 在标签的 href、src 等属性中,包含 javascript: (伪协议)等可执行代码。 onload、onerror、onclick 等事件中,注入不受控制代码
XSSCSRF的区别
weixin_42478365的博客
04-29 6186
1.CSRF CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的时候,请求网站A的api接口时,会提示你登录) (2)在不登出A的情况下,访问危险网站B(其实是利用了网站A的漏洞)。 我们在讲CSRF时,一定要
XSSCSRF 攻击——有什么区别,如何加以防护
HoewDec的博客
04-03 1339
在站点上存储攻击会放大攻击的严重性和可能性,因为受害者用户现在肯定会查看CSRF加载的页面,并且也会自然地对该页面进行身份验证。CSRF 攻击利用 Web 应用程序中的一个安全漏洞,该漏洞无法区分经过身份验证的用户会话中的错误请求和合法请求。这种攻击迫使不知情的用户登录到黑客控制的帐户。在存储式跨站攻击中,注入的恶意代码被永久地存储在易受攻击web应用程序的不同组件中,如数据库、评论字段、访客日志、消息论坛等。三、CSRF攻击的范围有限,仅限于用户可以执行的操作,例如点击恶意链接或访问黑客的网站。
网络攻防之XSSCSRF
mplanning的博客
05-06 1057
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全与数据库安
XSSCSRF、SSRF、暴力破解
qq_51780583的博客
08-10 827
XSSCSRF、SSRF、暴力破解
Web安全入门:SQL注入、XSSCSRF防范详解
1. SQL注入:这是一种恶意攻击方式,攻击者通过在输入字段中插入恶意SQL代码,破坏应用程序与数据库的交互。SQL注入可能导致数据泄露、系统被操纵,防范措施包括使用参数化查询、限制数据库权限、对敏感信息进行加密...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值