CSRF跨站请求伪造和XSS跨站脚本攻击(Sesion和Token的漏洞)

最新推荐文章于 2024-05-28 14:38:53 发布
最新推荐文章于 2024-05-28 14:38:53 发布
阅读量3.5k 收藏 1
点赞数
分类专栏: spring secur 文章标签: csrf xss 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxywangshun/article/details/121233786
版权

CSRF跨站请求伪造和XSS跨站脚本攻击(Sesion和Token的漏洞)

一:Session,Token概述

Sesion是保存在用户本地Cookie里面的,服务器端页保存了一份,每次请求会比较一次

Token是服务器返还给浏览器端的,保存在浏览器本地存储里面,服务器端不保存这个,每次请求也不带着,这个需要前端通过JS来获取到浏览器本地的Token。

二:CSRF漏洞概述

  • **CSRF(Cross Site Request Forgery)**一般被翻译为 跨站请求伪造 。那么什么是 跨站请求伪造 呢?说简单用你的身份去发送一些对你不友好的请求。

  • CSFR可以攻破Session,但是攻破不了Token

小壮登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接,结果发现自己的账户少了 10000 元。这是这么回事呢?原来黑客在链接中藏了一个请求,这个请求直接利用小壮的身份给银行发送了一个转账请求,也就是通过你的 Cookie 向银行发出请求。

Session原因就是:进行 Session 认证的时候,我们一般使用 Cookie 来存储 SessionId,当我们登陆后后端生成一个 SessionId 放在 Cookie 中返回给客户端,服务端通过 Redis 或者其他存储工具记录保存着这个 SessionId,客户端登录以后每次请求都会带上这个 SessionId, 服务端通过这个 SessionId 来标示你这个人。如果别人通过 Cookie 拿到了 SessionId 后就可以代替你的身份访问系统了。

Session 认证中 Cookie 中的 SessionId 是由浏览器发送到服务端的,借助这个特性,攻击者就可以通过让用户误点攻击链接,达到攻击效果。

Token原因是:我们使用 Token 的话就不会存在这个问题,在我们登录成功获得 Token 之后,
一般会选择存放在 localStorage (浏览器本地存储)中。
然后我们在前端通过某些方式会给每个发到后端的请求加上这个 Token,这样就不会出现 CSRF 漏洞的问题。
因为,即使有个你点击了非法链接发送了请求到服务端,这个非法请求是不会携带 Token 的,所以这个请求将是非法的。

三:XSS漏洞概述
  • 跨站脚本攻击(Cross Site Scripting)XSS
  • XSS漏洞能攻破Session,包括Token.
perfect-ws
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
渗透学习-XSS-基础知识部分(持续更新中)
qq_43696276的博客
09-18 556
跨站脚本攻击XSS)是客户端脚本安全中的头号大敌。OWASP TOP 10威胁多次吧XSS列在榜首。本文将接下来具体的探讨XSS攻击的原理,以及如何正确的防御它。提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
关于获取csrf-token前端技巧思考
weixin_50464560的博客
08-17 2462
https://xz.aliyun.com/t/7084 前言 如果说一个产品RCE漏洞相对描述是“一语中的”、“一发入魂”的杀气,想必各大厂商在对杀气感知和处理上总是最快最灵敏的,从各大专有SRC对报告的反映速度、修复速度、挖掘难易程度来说,也很好的佐证了这一点。log里保存着任何服务器接收到的数据原文随时溯源当场处理爱憎分明、系统环境在被攻击时的奇怪变化一看便知,一个好的RCE确实是无敌的,至少在被受攻击者审计出来前,高效便捷准确有效。但它一旦被使用,变会在厂商眼皮下留
CSRF详解(跨站请求伪造)
最新发布
qq_70584783的博客
05-28 860
工作原理:当用户在不知情的情况下点击了一个恶意链接或者访问了包含攻击代码的页面时,攻击代码就会以用户的身份向服务器发送请求,从而在用户的权限下执行非法操作,如转账、修改密码等。概念解释:CSRF,即跨站请求伪造,是一种攻击者利用用户在网站上的身份认证信息,通常是未失效的Cookie或会话,诱使用户发起非预期的请求到目标网站的攻击方式。按请求类型分类:CSRF攻击可以按照HTTP请求的类型进行分类,常见的有GET请求和POST请求CSRF攻击。技术进步:随着技术的发展,新的防御技术和攻击手段将不断出现。
【白帽子讲web安全】关于XSS,CSRF,SQL注入
The Summer, The Winter
05-29 2036
1.XSS 分类:      1.反射型:给用户发送页面或者链接,让用户点击来进行攻击      2.存储型:把攻击存放在服务端,可能造成传播(比如博客系统,每个访问该页面的人都有可能被攻击),主动性更强      3.DOM型:本质上是反射型,但是是通过用户点击,修改原本dom元素的属性,构造攻击动作 反射型和dom型区别:      反射型是构造好了攻击动作,然后就等你打开那个页面
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 2万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
前端安全 XSS跨站脚本攻击-CSRF跨站请求伪造攻击
好好学习天天向上
07-06 1619
XSS(Cross-Site Scripting)跨站脚本攻击是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie 等,进而危害数据安全XSS攻击的本质是:恶意代码未经过滤,浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。存储型XSS的攻击步骤比较常见的一个场景是攻击者在社区或论坛上写下一篇包含恶意 JavaScript 代码的文章或评论,文章或评论发表后,所有访问该文章或评论的用户,都会在他们的浏览器中执行这段
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
Django中如何防范CSRF跨站请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF跨站请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。...在跨站请求伪造CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
XSSCSRF、点击劫持、web应用安全实施
qq_43396558的博客
12-29 984
如果放cookie要配置上httponly和secure属性,这样就防止了xss,同时其他的同源策略要多多考虑。如果选择其他方式,就要着重考虑防止xss。必须使用csrf-token,使用cookie存储,使用httponly和secure属性。每个域名入口必须配置指定域能跨域,不能写通配符。响应的html内容必须加上csp策略(响应头和meta标签形式均可),只允许本源或指定源,配置不允许内联脚本、内联css。
CSRF
打代码的小女孩
01-13 622
CSRF概念:跨站请求伪造(Cross—Site Request Forgery) 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web...
CSRF(跨站请求伪造)漏洞
weixin_50464560的博客
08-25 1295
CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 漏洞危害 修改用户信息,修改密码,以你的名义发送邮件、发消息、盗取你的账号等 攻击条件 用户已登录存在CSRF漏洞的网站 用户需要被诱导打开攻击者构造的恶意网站 攻击过程 .
三个臭皮匠浅谈xss获取用户cookie的安全漏洞
jklbnm12的博客
07-27 557
利用别人的cookie,他们可以冒充真实的用户,在颁发cookie的那个网站中为所欲为,个人隐私在他们面前根本不存在。 接下来这篇文章以3个兄弟之间的对话进行讲解。 运气好的话连别人的用户名和密码都能得到,那就一通百通,因为大家都嫌麻烦,总是使用同一套用户名和密码来登录各种不同系统。 可是好景不长,这一天黑客老三慌慌张张地找到了老大:“大哥,大事不好! ” “老三,你这慌慌张张的毛病什么时候能改改? 这点儿你可得学学你二哥。” 老大训斥道。 “不是,大哥,这次真是大事不妙,浏览器家族最近颁布了一个什么同源策
保护您的 ASP.NET 应用程序
Lassewang的成长历程
02-03 1304
在上一期中,我讨论了构建 Web 应用程序安全性的重要性,并介绍了包括 SQL 注入和参数篡改在内的一些攻击类型,以及如何防范这些类型的攻击 (msdn.microsoft.com/magazine/hh580736)。 在本文中,我将深入探讨以下两种更常见的攻击,以帮助完善我们的应用程序保护体系:跨站脚本 (XSS) 和跨站请求伪造 (CSRF)。 您可能很想知道: 只使用生产安全
「第四章」跨站请求伪造(CSRF)
hacckjacking
01-22 500
「第四章」跨站请求伪造(CSRF) 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs ...
渗透测试-一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御
lza20001103的博客
08-25 2454
一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御 文章目录一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御一、相同点与不同点相同点不同点XXE漏洞二、防御1、XSS2、CSRF3、SSRF4、XXE三、面试题 一、相同点与不同点 相同点 XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点 XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的
WEB漏洞-逻辑越权之验证码与Token及接口
xhscxj的博客
01-31 1855
验证码安全 分类:图片,手机或邮箱,语音,视频,操作等 原理:验证生产或验证过程中的逻辑问题 危害:账户权限泄露 ,短信轰炸,遍历,任意用户操 漏洞:客户端回显(上篇),验证码复用,验证码爆破,绕过等 burp安装验证码识别插件与使用 https://github.com/c0ny1/captcha-killer/releases/tag/0.1.2 https://github.com/bit4woo/reCAPTCHA/releases/tag/v1.0 使用: 抓取验证码数据包 右键选中,发送到cap
关于Token 验证与存储 xss csrf 攻击防御措施
qq_36760953的博客
03-04 3155
关于Token 验证与存储 xss csrf 攻击防御措施 1.如果只存入cookie会被xss攻击劫持,并发动csrf攻击,但可以设置cookie的HTTPOnly属性,不被浏览器获取到cookie,但也不能完全保证不被xss劫持。 2.同时存入cookie和session,session中的token放入表单的隐藏域中,传到后台与cookie中的进行判断,但是使用session会被黑...
CSRF跨站请求伪造漏洞
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值