CSRF和XSS

最新推荐文章于 2024-09-19 15:45:00 发布
最新推荐文章于 2024-09-19 15:45:00 发布
阅读量149 收藏
点赞数
分类专栏: JS 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blueberry_liang/article/details/89950675
版权

1、CSRF

基本概念和缩写:
CSRF,通常称为跨站请求伪造,英文名Cross-site request forgery 缩写CSRF

攻击原理
在这里插入图片描述
攻击前提条件:

  • 在注册网站登录过
  • 网站某个接口有漏洞

防御措施

  • Token验证(访问接口时带上token)
  • Referer验证(服务器判断页面来源是否是该网站下的)
  • 隐藏令牌

2、XSS

基本概念和缩写:
XSS(cross-site scripting 跨域脚本攻击)

攻击原理
向页面注入脚本并运行

攻击方式:

  • 反射型
  • 存储型

反射型
两点条件:
发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回浏览器,最后浏览器解析执行XSS代码。

触发方式
自动触发:通过img标签如: http://localhost:3000/?xss=<img src="null" onerror="alert(111)"/>
引诱触发:http://localhost:3000/?xss=<p onclick="alert(点我啊)">点我啊</p>
iframe方式:http://localhost:3000/?xss=<iframe src=" baidu.com/1.html"></iframe>常用来插入广告之类的。

存储型
和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统),下次请求目标页时不用再提交XSS代码。

防御措施:

  • 第一步:编码
    对用户输入的数据进行HTML Entity编码
  • 第二步:过滤
    移除用户上传的DOM属性,如onerrror等
    移除style节点、script节点、iframe节点等
  • 第三步:校正
    避免直接对HTML Entity解码 使用DOM
    Parse转化,校对不配对的DOM标签

3、区别:

CSRF是依赖于登录该网站并且利用该网站接口的漏洞去执行接口,XSS是通过注入脚本的方式去执行相应的js操作。

像风一样的女孩
关注
专栏目录
CSRFXSS有什么区别
m0_56578216的博客
09-10 649
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应用程序。
搭建xss平台blue-lotus进行xss注入
sinat_30599967的博客
12-22 966
1.phpstady 环境下搭建blue 2.打开地址,点击安装:http://127.0.0.1/blue 3.修改密码后,点击提交 4.安装成功,点击登陆 5.输入密码登陆 6.登陆成功,点击我的js,选择默认模版修改默认网站地址,点击插入模版,点击保存 7.点击payload生成 8.在搭建的dvwa平台插入 9.在blue平台的接收面板获取到cookie ...
csrfXSS攻击分别是什么?
weixin_42436629的博客
01-09 517
3、CSRF是利用网站A本身的漏洞,去请求网站A的api;XSS是向网站A注入JS代码,然后执行JS里的代码,篡改网站A的内容。(XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。你可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。在不登出A的情况下,访问危险网站B。
XSSCSRF
php_martin的博客
08-13 376
XSSCSRF
XSSCSRF
Cairo_A的博客
05-12 211
本文主要介绍了 XSSCSRF 的攻击原理和防御措施。当然,在 Web 安全领域,除了这两种常见的攻击方式,也存在这 SQL 注入等其它攻击方式。防御 XSS 攻击HttpOnly 防止劫取 Cookie用户的输入检查服务端的输出检查防御 CSRF 攻击验证码Token 验证<完>
chengzhong1#Web#07-安全问题:CSRFXSS1
07-25
前言面试中的安全问题,明确来说,就两个方面:CSRF:基本概念、攻击方式、防御措施XSS:基本概念、攻击方式、防御措施这两个问题,一般不会问太难。有人问:SQL
wjp2018#vuecss#07-安全问题:CSRFXSS1
07-25
前言面试中的安全问题,明确来说,就两个方面:CSRF:基本概念、攻击方式、防御措施XSS:基本概念、攻击方式、防御措施这两个问题,一般不会问太难。有人问:SQL
dora:用于值解析、数据持久化、模板、CSRFXSS 保护的输入生成库
06-20
用于值解析、数据持久性、模板、CSRFXSS 保护的输入生成库。 文档 本文档作为 Dora API 文档。 如果您愿意,可以在浏览同时学习 Dora API,并使用本文档作为 API 参考。 形式 Form是一个数据容器。 /** * @...
Java Web应用安全防护:抵御CSRFXSS攻击的策略
08-28
跨站请求伪造(CSRF)和跨站脚本(XSS)是两种常见的网络攻击方式,它们可以对用户的安全和隐私造成严重威胁。本文将详细探讨CSRFXSS攻击的原理、特点以及在Java Web应用中的防护策略。 CSRFXSS攻击是Web应用...
【双语新闻】AGI安全与对齐,DeepMind近期工作
qq_29883477的博客
09-13 1077
的开发和运行,包括危险能力评估)。这还没有达到我们的需求:诚实策略的时间复杂度只在人类可判断的论证长度上是多项式的,而我们希望它在AI可判断的论证长度上是高效的。我们已经看到了一些使用Tracr的例子,但其使用的范围并没有如我们所希望的那样广泛,因为由Tracr生成的模型与在野外训练的模型有很大的不同。:尽管这项工作未能实现其雄心勃勃的目标,即在超置的早期MLP层中机械地理解事实是如何计算的,但它确实提供了进一步的证据表明超置正在发生,并否定了关于事实回忆可能如何运作的一些简单假设。
Boot header格式描述详细信息。CSU DMA用于数据传输。安全流开关允许数据移动。PL配置通过PCAP接口。PL bit流包含设备配置数据。
lsh11111的博客
09-13 492
此外,BootROM可以使用8位并行配置中的宽度检测参数值和image识别参数值来检测Quad-SPI接口的预期I/O宽度。在Quad-SPI引导过程中,BootROM会根据宽度检测参数值来选择相应的I/O配置,以确保正确访问Quad-SPI设备。- Reserved for interrupts: 用于存储中断相关信息,特别是在LQSPI地址空间中的默认0x01F中断向量被更改时,在XIP启动模式下使用。- 安全头初始化向量: 用于PMU FW和FSBL的安全头的初始化向量。
【农信网-注册/登录安全分析报告】
09-16 1364
北京农信互联科技集团有限公司是一家农业互联网高科技企业,以“用互联网改变农业”为使命,致力于构建最有影响力的农业数智生态平台,推动中国农业数字化转型升级。作为农业互联网领域的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
Dependency Check:一款针对应用程序依赖组件的安全检测工具
最新发布
FreeBuf_的博客
09-19 1246
Dependency-Check 是一款软件组合分析 (SCA) 工具,可尝试检测项目依赖项中包含的公开披露的漏洞。
第160天:安全开发-Python-蓝队项目&流量攻击分析&文件动态监控&Webshell检测
weixin_71529930的博客
09-19 280
本来后续上传的文件,可以调用api接口上传到威胁分析平台进行分析是否有害,根据分析返回的结果,来判断是否进行删除,但是百度免费的网站已经停掉了,virustotal免费的api坏掉了,别的免费的不好用,收费的买不起……首先先把tcp中传入的payload包,以一行一行的格式进行输出,因为http肯定是tcp层协议。通过写一个列表把最常见的字符串以byte格式写入,每一行进行循环,判断这段字符串是否在这一行中。该项目就不过多进行介绍了,这里被创建,删除也会提示修改,所以我只显示增加,删除,
国庆旅游高峰期,景区如何利用可视化大屏保障游客安全
Leo的博客
09-19 749
国庆假期即将来临,中国文化和旅游部发布的数据显示,今年国庆期间国内旅游市场将迎来爆发式增长,预计出游人次将达到8.96亿,同比增长86%,旅游收入预计将达到7825亿元人民币,同比增长138%。这一繁荣景象无疑给各大景区带来了巨大的客流量和经济收益,但同时也带来了不小的安全管理挑战。在人潮涌动的旅游高峰期,如何确保游客的安全,成为景区管理的重中之重。本文将探讨在国庆旅游高峰期,景区如何利用可视化大屏,通过实时监控、数据分析和智能响应,有效保障游客的安全
“区块链积分系统:支付安全与效率的新篇章
WSY88x的博客
09-13 442
将区块链技术与积分奖励机制相结合,我们得到了一个创新的区块链积分系统。面对传统支付系统在处理大规模交易时遭遇的诸多难题,例如复杂的审核流程、严格的法规遵从以及欺诈行为的风险,这些问题不仅拖慢了交易速度,还可能导致用户和企业遭受经济损失。区块链积分系统的交易流程如下:平台发行限定数量的积分以替代现金,服务供应商向平台购买积分,消费者向服务供应商充值积分后,在平台商家处消费。1.积分发行者:作为平台的运营主体,负责发行限定数量、可流通且可追踪的区块链积分,并通过“运营账户”吸引服务供应商,向他们提供积分。
安全 | AWS S3存储桶安全设计缺陷分析
2301_80127209的博客
09-19 430
默认情况下,Amazon S3 是安全的。创建后,只有资源所有者才能访问他们创建的 Amazon S3 资源。Amazon S3 支持用户身份验证来控制对数据的访问。您可以使用存储桶策略和访问控制列表 (ACL)等访问控制机制来有选择地向用户和用户组授予权限。Amazon S3控制台会突出显示您的可公开访问的存储桶,指出公开可访问的资源,如果对您的存储桶策略或存储桶 ACL 的更改将使您的存储桶可公开访问,还会向您发出警告:您应该为您不希望公开访问的所有帐户和存储桶启用“阻止公共访问”。
运维工程师面试整理-安全常见安全漏洞及修复
不务正业的猿
09-19 268
暴露在互联网的服务和端口可能会成为攻击者的目标,例如开放的SSH、FTP、Telnet等。:攻击者通过注入恶意脚本,使其在其他用户的浏览器中执行,从而窃取用户信息或劫持用户会话。:通过插入恶意SQL代码,攻击者可以操纵应用程序的数据库查询,执行未授权的数据库操作。:展示你对新兴安全威胁和防护技术的了解和学习能力,如零信任架构、基于AI的安全分析等。在不同的服务器或沙盒环境中处理和存储上传的文件,避免在Web根目录下保存可执行文件。采用安全框架和标准(如OWASP、NIST),确保系统和应用的安全合规性。
csrfxss的异同
06-06
CSRF(Cross-Site Request Forgery)和XSS(Cross-Site Scripting)都是Web安全领域的常见攻击方式,但它们之间有一些区别。下面是它们的异同点: 1. 定义:CSRF是攻击者利用用户已经登录的身份,伪造用户的请求,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值