XSS和CSRF

最新推荐文章于 2024-03-01 12:00:00 发布
最新推荐文章于 2024-03-01 12:00:00 发布
阅读量315 收藏
点赞数
文章标签: vue.js elementui javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eleuuuuy/article/details/123330297
版权

XSS

XSS:跨站脚本(Cross-site scripting)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。他允许恶意用户将代码注入到网页中,其他用户在观看网页时就会受到影响,这类攻击通常包含了HTML以及用户端脚本语言。
XSS攻击的类型
1.反射型(非持久型)
反射型XSS把用户输入的数据反射给浏览器,这种攻击的方式需要攻击者诱骗用户点击一个恶意链接或者提交一个表单,或者进入一个恶意网站时,将恶意脚本注入攻击者的网站,当用户点击恶意链接时,页面跳转到攻击者预先准备的页面,会发现在攻击者的页面执行了JS脚本,这样产生了反射型XSS攻击,攻击者可以注入任意的恶意脚本进行攻击,可能注入恶作剧脚本或者获取用户隐私数据的脚本。
2.存储性(持久型)
存储型XSS会把用户输入的数据存储到服务器端,当浏览器请求数据时,脚本从服务器上传并整形,这种XSS攻击具有很强的稳定性,一个比较常见的场景是攻击者在论坛上写下一篇包含恶意JS的评论,这个评论发表后,所有访问这个评论的用户都会执行这段恶意的js代码。
3.基于DOM的XSS(非持久型)
DOM型XSS是基于DOM文档对象模型的一种漏洞,DOM型XSS是一种特殊的反射型XSS,区别在于DOM型XSS并不会和后端进行交互,首先客户端的脚本程序可以通过DOM动态的检查和修改页面内容,当攻击者可以控制一些DOM对象,输入一些恶意JS脚本,而客户端脚本并没有对用户输入的内容进行有效的过滤就执行这些脚本,就会导致DOM型XSS漏洞。
XSS攻击的防范方法:
1.HttpOnly防止窃取Cookie
浏览器将禁止页面的js代码访问这个cookie,这样能够阻止XSS攻击后的Cookie劫持攻击
2.输入检查
不要相信用户的任何输入,对于用户的任何输入都要进行检查、过滤和转译。建立可信任的字符和HTML标签白名单,对于不在白名单之列的字符或者标签进行过滤或编码,在XSS防御中,输入检查一般是检查用户输入的数据中是否包含左尖括号或者右尖括号等特殊字符,有则对特殊字符进行过滤或编码来防止XSS攻击。
3.输出检查
用户的输入会存在问题,服务端的输出也会存在问题,一般来说,除了富文本的输出外,在变量输出到HTML页面时,可以使用编码或者转译的方式来防御XSS攻击。

CSRF(XSRF)

跨站请求伪造(Cross-site request forgery),也被称为one-click attack或session riding,通常缩写为CSRF或XSRF,是一种挟制用户在当前已登陆的Web应用程序上执行非本意的操作的攻击方法。
步骤:
1.用户浏览并登陆信任网站A
2.网站A验证通过后,在用户出产生A的Cookie
3.用户在没有退出网站A的情况下,访问了危险的网站B
4.危险网站B要求用户访问第三方站点A,并发出了一个请求
5.用户根据危险网站B的要求,携带着A的cookie对网站A进行了请求
6.网站A并不知道这个请求是用户发出的还是危险网站B发出的,但是因为这个cookie的存在,A会处理这个请求,从而危险网站B达到了自己获取用户信息的目的
常见的CSRF攻击
1.GET类型:通过向受害者网站的网页中注入一个img标签,这个标签的src属性指向共计发出者的服务器,这样攻击者就会获取到含有受害者登录信息的一次跨域请求。
img
src=“http://bank.example/withdraw?amount=10000&for=hacker” >
2.POST类型
利用一个隐形的input表单,当受害者访问该页面的时候,这个表单会自动提交获取到的用户信息
3.链接类型的CSRF
需要用户点击链接才会出发,这种类型通常是发布的突变中嵌入恶意链接,或者以广告的形式诱导用户点击。
CSRF攻击特点
1.通常发生在第三方域名
2.不能获取到cookie等信息,只是使用。
防范CSRF攻击
token验证的CSRF防御机制是公认的最合适方案,主要包括以下三个步骤:
1.将CSRF Token输出到页面中:
用户打开页面的时候,服务器需要给用户生成一个Token,这个一般是随机字符串和时间戳通过加密算法加密后的结果,这个Token不能保存在cookie中,否则可能会被攻击者冒用,为了安全起见,这个Token可以存在服务器的Session中,使用Js遍历整个DOM树,对于DO M中所有的a和form标签后加入Token
2.页面提交的请求需要携带Token
对于GET请求,Token将附加在请求地址之后,对于POST请求,可以在form表单中加入一个隐藏的表单域input,这个input的value中需要携带token。
3.服务端验证Token是否正确
当用户再次访问服务器的时候,服务器需要判断Token的有效性,验证过程是先解密Token,对比加密字符串和时间戳,如果加密字符串一致且时间未过期,则判断这个Token是有效的
Referer Check
根据HTTP协议,在HTTP头部字段中有一个字段referer,记录了该HTT P请求的来源地址,通过Referer check验证目标请求是否来自合法的源。
cookie的SameSite属性设置为strict
设置了这个属性,会使得在跨站情况下,任何情况下都不会发送cookie

不灭777
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
这一次彻底搞懂CSRFXSS
Always-Learning
12-12 3056
CSRF攻击 一、什么是CSRF攻击? CSRF指的是跨站请求伪造,是一种挟制用户在当前已经登录的Web应用程序上执行非本意操作的攻击方法。CSRF利用的是:一旦用户通过网站服务的身份认证,网站就完全信任该用户,受害者持有的权限级别决定了CSRF攻击的影响范围。 二、CSRF攻击流程 主要步骤包含下列六个步骤: 用户浏览并登陆信任网站A。 网站A验证通过后,在用户处产生A的Cookie。 用户在没有退出网站A的情况下,访问了危险网站B。 危险网站B要求用户访问第三方站点A,并发出了一个请求。 用户
漏洞扫描与防护选择题
m0_71742750的博客
11-02 2128
选择题
XSSCSRF 攻击详解
最新发布
wangluoanquan111的博客
03-01 973
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。===XSS,即 Cross Site Script,中译是跨站脚本攻击。其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。
web安全性测试用例
weixin_33924220的博客
05-12 2392
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1.   输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应 3.输入特殊字符,如:~!@#$%^&*()...
2020大学生网络安全知识大赛总决赛模拟题错题集(11)
weixin_45551695的博客
07-20 4629
1.以下选项中不属于单包攻击的是 A.Ping of Death攻击;B.IP地址扫描攻击;C.ICMP重定向报文攻击;D.分布式拒绝服务(DDoS)攻击 正确答案是:D 2.地址解析协议(ARP)是根据IP地址获取物理地址的一个TCP/IP协议,关于ARP描述正确的是 A.不需要对IP地址和物理地址进行缓存;B.建立在网络中主机相互信任的基础上;C.发送包含源IP地址的ARP请求广播;D.根据IP地址获取物理地址的UDP协议 正确答案是:B 3.在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密
XSS攻击与CSRF攻击
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
router_xss_csrf:具有XSSCSRF的安全路由器
03-05
具有XSSCSRF的安全路由器 下载文件“ .htaccess”,并将其放置在应用程序的根目录下。 通常,这是一个名为“ htdocs”或“ www”的文件夹。 下载文件“ router.php”,并将其放置在应用程序的根目录下。 通常,...
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
TokenBasedSafe:一个展示针对XSSCSRF攻击的防护的网站
04-29
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的Reactjs... 该网站用于演示针对XSSCSRF攻击的防护
XSSCSRF两种跨站攻击总结
02-26
但是,历史同样悠久的XSSCSRF却没有远离我们。由于之前已经对XSS很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过Tidy之类的过滤,我一定会在模板输出时候全部转义。所以个人感觉,要避免...
xsscsrf(详解)
qq_62046696的博客
06-30 3955
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
详解XSSCSRF
sanlyshi's front-end road
10-28 1723
https://www.cnblogs.com/zhouyyBlog/p/14505961.html
对于XSSCSRF你究竟了解多少
2301_77512689的博客
04-24 429
在访问危险网站B的之前,你已经登录了银行网站A,而B中的以GET的方式请求第三方资源(这里的第三方就是指银行网站了,原本这是一个合法的请求,但这里被不法分子利用了),所以你的浏览器会带上你的银行网站A的Cookie发出Get请求,去获取资源“http://www.mybank.com/Transfer.php?c.第一点说了请求令牌理论上是可破解的,所以非常重要的场合,应该考虑使用验证码(令牌的一种升级,目前来看破解难度极大),或者要求用户再次输入密码(亚马逊、淘宝的做法)。
XSSCSRF两种攻击方式总结
JunDao73的博客
02-16 5721
腾讯2016实习招聘-安全岗笔试题答案详细解释
热门推荐
煜铭2011
06-11 8万+
0x00前言 鉴于曾经做过腾讯找招聘-安全技术笔试题目,故留此一记,以作怀念。此外,网上也有公布的相关的答案,但是其中有些题目稍有错误或者解释不全,所以趁机写上一记。 0x01 开始 2016年4月2日晚上7:00到9:00,腾讯2016实习招聘-安全技术的笔试题确实考到很多基础知识。该笔试题有两部分。第一部分是30道不定项选择题、10道简答题和5道判断题,题量是45,限时80分钟。第二部分
CSRFXSS有什么区别
m0_56578216的博客
09-10 584
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应用程序。
xsscsrf的区别
07-20
XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们的目标和实现方式不同。 XSS攻击主要针对的是网页应用中存在的漏洞,攻击者通过注入恶意的脚本代码到网页中,使得用户在浏览网页时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值