csrf跟xss

最新推荐文章于 2024-06-19 15:28:18 发布
最新推荐文章于 2024-06-19 15:28:18 发布
阅读量93 收藏
点赞数
分类专栏: 安全 防御 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cmd2018/article/details/113573562
版权

xss攻击

  • cross site scripting: 跨站脚本攻击
  • 作用:获取页面数据 获取cookies 劫持前端逻辑 发送请求 偷取网站任意数据 偷取用户资料 偷取用户密码和登录状态 欺骗用户 获取用户银行卡信息等等
  • xss注入节点
    • html节点
    • html属性
    • javascript代码(url 搜索框 评论)
    • 富文本
防御方案

  • 浏览器自带防御:防御html内容跟html属性

  • 将尖括号转义:>: ‘&gt’ <: ‘&lt’

  • 将双引号 单引号转义

  • 将空格转义 将&符号转义 将\转义

  • 将输入内容用 json.stringify()转义

  • 按白名单保留部分标签和属性

  • 将外链比如href src url 里面可能存在的xss攻击替换 :

    html.replace(/\<\s*\/?script\s*>/g, '');
html.replace(/javascript:[^'"]*/g, '');
html.replace(/onerror\s*=\s*[^'"]?[^'"]*['"]?/g, '');

  • github:根据白名单列表过滤html标签属性:xss第三方包

CSRF

  • cross site request forgy:跨站请求伪造
  • 其他网站对目标网站发请求
  • 表单form target属性如果跟iframe一样,不会跳转界面
csrf危害
  • 利用用户登录态
  • 用户不知情
  • 完成业务请求
  • 盗取用户资金
  • 冒充用户发帖
  • 损害网站声誉
  • 。。。

#### csrf防御

  • same site属性
  • 阻止第三方网站携带cookies
  • 在前端界面加入验证信息
  • token
  • cookie session
  • 验证码: ccap第三方插件
  • referer: ?获取网站url(请求头里面)

cookie

作用:

  • 存储个性化设置
  • 存储未登录时用户位移标识
  • 存储已登录用户的凭证
  • 存储其他业务

验证:

  • 用户id
  • 用户id+签名:crypto(第三方签名包),防止被篡改
  • sessionID
  • 私有变换(加密)
  • http-only(防止xss)
  • same-site: 兼容性不好(仅chrome支持)
  • secure: 请求头???http
xss和cookie的关系
  • xss可能偷取cookies
  • http-only的cookie不会被偷
csrf跟cookie的关系
  • csrf利用了用户的cookies
  • 攻击站点无法读写cookies
  • 最好能阻止第三方使用cookies

iframe透明度设置为0, 点击劫持

  • 用户亲手操作
  • 用户不知情
  • 盗取资金
  • 获取用户敏感信息
  • 。。。

sandbox属性: 查看mdn

点击劫持防御
  • javascript禁止内嵌:top.location跟window.location不相等
  • x-frame-options禁止内嵌(服务器端控制)
  • 其他辅助手段:比如添加验证码等,增加用户操作门槛,体验可能变差
cmd2018
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java Web应用安全防护:抵御CSRFXSS攻击的策略
08-28
跨站请求伪造(CSRF)和跨站脚本(XSS)是两种常见的网络攻击方式,它们可以对用户的安全和隐私造成严重威胁。本文将详细探讨CSRFXSS攻击的原理、特点以及在Java Web应用中的防护策略。 CSRFXSS攻击是Web应用...
Web安全第三次实验(CSRF,XSS,点击劫持).rar
12-26
文件中包含myzoo,csrf.html,xss.txt,hijack.html.其中myzoo是测试网站,csrf需要在测试网站中的profile中设置超链接,xss攻击则直接可以将xss.txt内容复制到profile中,点击劫持也是需要设置超链接。
我是如何从一个xss到某个浏览器的远程命令执行
weixin_30736301的博客
03-24 481
0x01 前言:其实我是个小白平时就喜欢瞎搞,无意间碰到一个浏览器就想一探究竟,好了废话不多说开始!!! 0x02 可以看到我打开的新标签是怎么一个链接页面,既然是页面我是不可以XSS它呢? 于是我就打开了控制器输入XSS代码如下图: 输入payload发现能成功弹窗,我们来假设如果这个浏览器的本地域既然能弹XSS是不可以弹出其他的呢? 没错确实能弹出其...
xss妙用,快速测试xss漏洞。
热门推荐
椰树ii
05-24 1万+
#介绍# 这篇文章的主要目的是去给应用安全测试者提供一份xss漏洞检测指南。文章的初始内容由RSnake提供给OWASP,从他的xss备忘录:http://ha.ckers.org/xss.html 。目前这个网页已经重定向到我们这里,我们打算维护和完善它。OWASP的第一个防御备忘录项目:the XSS (Cross Site Scripting) Prevention Cheat Shee
csrfxss区别
dennyliudongqi的博客
08-12 474
csrfxss区别
csrfXSS攻击分别是什么?
weixin_42436629的博客
01-09 511
3、CSRF是利用网站A本身的漏洞,去请求网站A的api;XSS是向网站A注入JS代码,然后执行JS里的代码,篡改网站A的内容。(XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。你可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。在不登出A的情况下,访问危险网站B。
XSSCSRF 攻击详解
xnxqwzy的博客
05-01 397
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
CSRFXSS
lizhi1030的博客
09-15 179
面试中的安全问题,明确来说,就两个方面:CSRF:基本概念、攻击方式、防御措施XSS:基本概念、攻击方式、防御措施这两个问题,一般不会问太难。有人问:SQL注入算吗?答案:这个其实跟前端的关系不是很大。
CSRFXSS组合拳
weixin_60719780的博客
01-17 1095
简单的xsscsrf的组合利用
csrf+xss组合拳
m0_68976043的博客
06-19 580
靶场cms文章管理系统。
php csrf攻击 xss区别,用大白话谈谈XSSCSRF
weixin_39922868的博客
03-19 199
这两个关键词也是老生常谈了,但是还总是容易让人忘记与搞混~。XSSCSRF这两个关键词时常被拉出来一起比较(尤其是面试),我在这里也在写一篇扫盲文,也帮自己整理一下知识脉络。这篇文章会用尽量“人话”的语言解释这二个关键词,让同学们对跨域,安全有更深一层次的了解。国际惯例,先上一下维基百科:XSS:跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻...
时序预测-基于自回归滑动平均模型时间序列ARIMA预测Matlab程序 点变量
08-30
时序预测|基于自回归滑动平均模型时间序列ARIMA预测Matlab程序 点变量 1.程序功能已完成调试,用户可以通过一键操作生成图形和评价指标。 2.数据输入以Excel格式保存,只需更换文件,即可运行以获得个人化的实验结果。 3.代码中包含详细注释,具有较强的可读性,特别适合初学者和新手。 4.在实际数据集上的效果可能较差,需要对模型参数进行微调。 CSDN:机器不会学习CL 时序预测|基于自回归滑动平均模型时间序列ARIMA预测Matlab程序 点变量 1.程序功能已完成调试,用户可以通过一键操作生成图形和评价指标。 2.数据输入以Excel格式保存,只需更换文件,即可运行以获得个人化的实验结果。 3.代码中包含详细注释,具有较强的可读性,特别适合初学者和新手。 4.在实际数据集上的效果可能较差,需要对模型参数进行微调。 CSDN:机器不会学习CL
基于微信小程序的考研资料分享系统的设计与实现.docx
08-30
基于微信小程序的考研资料分享系统的设计与实现.docx
豆瓣读书书评爬虫软件,使用方便快捷
08-30
豆瓣读书书评爬虫软件将辅助你爬取你感兴趣的书目短评,交互简单,你可以轻松的获取目标书目的指定页数的内容,你可以非常方便地使用该资源即可爬取对应书目的短评内容,可以爬取指定页数的信息,也可以将内容保存到数据库sqlite中,当然也会保存为文本文件,每条评论独占一行,如果后续你要做评论的文本情感分析也会特别方便,如若不会使用,详细使用方式可以看我写的一篇文章,链接在此处,点击可跳转:https://blog.csdn.net/weixin_45938063/article/details/141500999spm=1001.2014.3001.5501 ,该资源收取1积分即可下载,欢迎支持下载,您的支持是我创作的动力
XX市XX区市场局数据治理方案文档
08-30
基于企业监管、食品安全、药品安全、知识产权、特种设备监管等多维数据,通过协同各类数据资源,进行数据汇集、治理,构建支撑XX市XX区市场监管数字化平台的标准化数据库,促进XX市XX区市场监管体系的放管服改革工作,逐步实现XX市XX区全方位、全覆盖、全领域、全过程的一体化数智监管体系。
基于springboot的网上购物商城系统设计与实现.docx
最新发布
08-30
基于springboot的网上购物商城系统设计与实现.docx
ssm+mysql的宝康药房销售管理系统.zip
08-30
根据需求,确定系统采用JSP技术,SSM框架,JAVA作为编程语言,MySQL作为数据库。整个系统要操作方便、易于维护、灵活实用。主要实现了频道维护、新闻维护、药品维护、订单维护、系统管理等功能。
csrfxss的异同
06-06
CSRF(Cross-Site Request Forgery)和XSS(Cross-Site Scripting)都是Web安全领域的常见攻击方式,但它们之间有一些区别。下面是它们的异同点: 1. 定义:CSRF是攻击者利用用户已经登录的身份,伪造用户的请求,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值