前端攻击之xss和csrf

最新推荐文章于 2024-07-23 12:00:00 发布
最新推荐文章于 2024-07-23 12:00:00 发布
阅读量741 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baibaider/article/details/79610316
版权

被动攻击:

 

  • 诱发用户触发陷阱启动发送。
  • 利用用户身份攻击企业内部网络。

主动攻击:

 

  • 攻击者直接访问web应用,就能发起对web应用的攻击,比如sql注入(对数据运行非法sql产生的泄露机密信息)和os命令注入(通过程序运行非法操作系统指令,在能调用shell函数的地方,因为web通过shell来调用操作系统指令)。

xss:(Cross Site Scripting,为了区别于css而叫xss)跨站脚本攻击,被动攻击。

通过存在漏洞的web运行非法的js或html标签,动态创建的html可能有漏洞。

影响:

 

  • 利用虚假表单得到用户信息
  • 利用脚本窃取用户cookie,发送恶意请求
  • 显示伪造的文章或图片

防御:

 

  • 过滤输入,转义输出
  • 避免使用eval,new Function等执行字符串的方法
  • 在服务器设置cookie的httpOnly属性,cookie.setHttpOnly(true);加上之后js无法读取cookie

 

存储型XSS:

持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。

反射型XSS:

非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。

 

csrf(Cross-site request forgery):跨站请求伪造,被动攻击。

指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新。

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

实例:

管理员登录。攻击者给管理员页面添加一个隐藏表单的页面,诱使其打开,然后直接登录。(通过url传递)

防御:

 

  • 检测http头部referer字段(记录http请求的来源地址)是否同域名
  • 避免登录的session长时间存储在客户端中
  • 关键请求使用验证码或者token机制(用户登录后产生token放于session中,每次http请求将token(cache-control的cache-extension)拿出)

 

baibaider
关注
前端安全问题---XSSCSRF
阳光下的冷静的博客
05-09 1214
XSS概念 XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。 XSS攻击原理 其原理是攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie、破坏页面的正常结构,插入广告等恶意内容、...
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1580
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击CSRF攻击的原理、特点以及xssCSRF的区别
前端安全之XSSCSRF攻击
公众号:前端充电宝
08-02 660
目录1. 什么是XSS ?1.1 概念1.2 攻击方式1.3 危害1.4 分类2. 如何防御XSS?2.1 设置HttpOnly2.2 输入检查2.3 输出检查3. 什么是CSRF ?3.1 概念3.2 攻击方式4. 如何防御CSRF?4.1 验证码4.2 验证Referer4.3 cookie设置sameSite4.4 添加token验证 1. 什么是XSS ? 1.1 概念 XSS,即 Cross Site Script,是指跨站脚本攻击,原本缩应该为CSS,但是为了和层叠样式表(Cascading
前端安全系列(一):如何防止XSS攻击
最新发布
qq_44005305的博客
07-23 835
Cross-Site Scripting(跨站脚本攻击)简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID 等,进而危害数据安全。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
前端XSS攻击CSRF攻击
weixin_44823731的博客
12-25 530
1.XSS攻击 XSS攻击:(Cross Site Scripting)跨站脚本攻击。在渲染DOM树的过程中执行了不在预期内的js代码,就发生了XSS攻击攻击样例:在一些博客网站,发表一篇文章的时候,在文章中加入<script>alert('XSS攻击')</script>这种用script标签包含着的js语句。发表成功之后,当别人访问你的这篇文章的时候,就会自动执行alert('XSS攻击')这段代码。这样就属于xss攻击。更严重的,就在script标签中,获取你的cookie
前端安全XSSCSRF
qq_57334853的博客
07-29 802
XSS(Cross-site scripting)跨站脚本攻击: 用户在页面渲染数据时注入可运行的恶意脚本 目的是盗用cookie,获取敏感信息,得到更高权限
前端安全:XSSCSRF
m0_46269977的博客
06-07 334
谈谈你对XSS攻击的理解 什么是XSS攻击 XSS全称是Cross Site Scripting,为了与CSS区分开来,故简称XSS,翻译过来就是跨站脚本 XSS是指黑客往HTML文件或者DOM中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段 最开始的时候,这种攻击是通过跨域来实现的,所以叫跨域脚本,现在插入恶意代码的方式越来越多,所以是否跨域注入脚本已经不是唯一的注入手段了,但是这个XSS名字却一直保留至今 注入恶意脚本可以完成这些事情 窃取cookie 监听用户行为,比如
前端安全(XSSCSRF)
程展威的博客
05-29 4355
前端安全:XSSCSRF介绍及避免方案
前端面试常问--计算机网络--网络攻击XSSCSRF
zem
11-02 1217
XSS(Cross Site Scripting) XSS攻击全称跨站脚本攻击,之所以首字母是X,是为了区别于层叠样式表CSS 使用cookie,localStorage,sessionStorage时要注意是否有代码存在XSS注入的风险,攻击者在有XSS缺陷的页面会窃取用户的对应信息 XSS注入的方法 XSS注入实际上就是通过页面设计时的缺陷,利用浏览器对于某处代码的解析,让浏览器去执行恶意代码 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。 在内联的 JavaScript 中,
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2155
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
前端黑客之XSSCSRF
caoxinhui521的博客
08-09 472
XSS:跨站脚本,发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程中出现了不被预期的脚本指令并执行时,XSS就会发生。 绝大多数XSS攻击都会采用嵌入一段远程或者第三方域上的脚本资源。任何安全问题都有“输入”的概念,很多时候输入的内容长度是有限制的。真正的XSS攻击弹出窗无意义。一般会注入类似 这样做的好处:攻击代码容易控制 XXS类型
前端安全(XSSCSRF
mkbird的博客
09-08 1635
相对来说token的用户体验会更好,将token存在我们自己的网页中,只有通过自己的网页发起的请求才能携带token,而只有携带token的请求后端才会响应。更为严重的后果可能是,攻击者用你的账户再次发布了链接,其他用户一旦点开,就会继续中招,形成CSRF蠕虫,不断传播。脚本中创建一个图片,图片中创建一个img,在img的src中将请求地址改为自己的脚本,并附带当前网站的cookie,就可以拿到cookie了。点击搜索,我们会发现,网站"执行了"我们的脚本,这样我们就实现了最简单的xss攻击
前端安全知识(XSSCSRF
野生松
02-12 338
一、XSS(跨站脚本攻击xss:跨站脚本攻击(Cross Site Scripting)是最常见和基本的攻击 WEB 网站方法,攻击者通过注入非法的 html 标签或者 javascript 代码,从而当用户浏览该网页时,控制用户浏览器。 1、常见的攻击方式 在输入框输入恶意代码(例如评论) 劫持用户的cookie 2、防御方式 httpOnly: 在 cookie 中设置 Http...
前端安全XSSCSRF讲解
曹定栓的博客
08-07 1778
XSS 全称Cross Site Scripting,名为跨站脚本攻击。为啥不是单词第一个字母组合CSS,大概率与样式名称css进行区分。
前端安全-关于XSSCSRF
weixin_45460053的博客
08-27 153
XSS 跨站脚本攻击 CSRF 跨站请求伪造 1.XSS: 浏览器向服务器请求的时候被注入脚本攻击 类型: 1.反射型(非持久型):攻击者通过从url中输入XSS代码,作为输入提交到服务器端,服务器解析响应,XSS代码随着响应内容传回到浏览器,有浏览器解析执行XSS代码. 2.存储型(持久型):它与反射型不同的是,存储型会注入到服务器数据库中,从而使普通用户的每次请求都具有XSS代码,从而具备了扩散性. 3.基于DOM型:通过DOM来动态修改页面内容,从客户端获得DOM中的数据并在本地执行. 防范措施: 1
前端xsscsrf部分概述
桃子阿桃
08-27 285
Web安全 私密性: 不被非法获取和利用 可靠性: 不丢失不损坏不被篡改 措施: 代码层面 架构层面 运维层面 安全问题: 用户身份被盗用 用户密码泄露 用户资料被盗取 网站数据库泄露 1. 前端XSS Cross Site Scripting 跨站脚本攻击 跨站有的时候并不是指一定要引用一个远程脚本, 更多的攻击和探测的时候会使用一个alert框来确认这个网站有没有xss漏洞 <span>欢迎来自{from}的朋友</span> XSS攻击基本原理: 程序 + 数据
前端必须懂的计算机网络知识—(XSSCSRF和HTTPS)
weixin_33762321的博客
10-02 284
前端必须懂的计算机网络知识系列文章: DNS服务器和跨域问题 计算机网络的分层模型 IP地址和MAC地址 前端必须懂的计算机网络知识—(跨域、代理、本地存储) 前端必须懂的计算机网络知识—(TCP) 前端必须懂的计算机网络知识—(HTTP) 前端必须懂的计算机网络知识—(XSSCSRF和HTTPS) HTTP为什么不安全 可能被窃听: HTTP 本身不具备加密的功能,HTTP 报文使用...
前端安全之XSSCSRF攻击的原理和解决方案
liushijun_的博客
06-11 3592
1、XSS(CRoss Site Scripting, 跨站脚本攻击) 这是前端最常见的攻击方式,很多大型网站(如Facebook)都被XSS攻击过。 举个例子,我在一个博客网站正常发表一篇文章,输入汉字、英文、和图片,完全没有问题。但是如果我写的是恶意的JS脚本,例如获取到document。cookie然后传输到自己的服务器上,那我这篇文章或者评论时,之前注入的这段JS代码就执行了。JS代码一旦...
Web前端安全:XSSCSRF深度剖析
此话题涵盖了多个子主题,包括XSS(跨站脚本)漏洞挖掘与利用、CSRF(跨站请求伪造)、对域和同源策略的理解,以及Content Security Policy(内容安全策略)等。 1. XSS漏洞挖掘与利用: XSS攻击是一种常见的Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值