![](https://img-blog.csdnimg.cn/20201014180756918.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
攻击类型
fjp_09
这个作者很懒,什么都没留下…
展开
-
CSRF
CSRF(Cross-site request forgery-跨站请求伪造) 原理 在第三方网站利用用户的登录状态向被攻击网站发送跨站请求 思路 1.Get请求,设置img的src属性发起请求 2.构造隐藏表单发起Post请求 3.利用a标签的hrref 如何验证网站存在csrf漏洞 参考方法(待验证): 使用CSRFTester进行测试,抓取所有链接及表单信息,修改相应的表单信息,重新提交。若修改后的测试请求成功被网站服务器接受,则说明存在csrf漏洞。 防御 1.设置cookie的samesite属性原创 2021-05-13 22:32:14 · 91 阅读 · 0 评论 -
XSS
XSS(Cross Site Scripting,跨站脚本攻击) 类型 反射型XSS 服务器返回带有恶意脚本的网页 浏览器执行脚本并发起请求携带用户cookie 诱导用户点击url 基于DOM节点的XSS 浏览器执行脚本并发起请求携带用户cookie 诱导用户点击url 存储型XSS JavaScript脚本长期保存在服务端数据库中 访问页面数据,脚本将会自动执行 总结 I类特点是脚本存在url里 II的特点是代码存在数据库里 III类的特点是取出和执行都由浏览器完成 前两者属于服务端,后者属于自身漏洞安全原创 2021-05-12 23:26:14 · 74 阅读 · 0 评论