XSS,CSRF了解一下

最新推荐文章于 2022-03-28 22:21:13 发布
最新推荐文章于 2022-03-28 22:21:13 发布
阅读量247 收藏 1
点赞数
分类专栏: web安全 文章标签: web安全 XSS CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guotingting923/article/details/81083108
版权

之前做的好多系统,并没有考虑安全问题,最近才有了这个意识,XSS和CSRF是比较常见的攻击方式,今天来了解一下,内容参考自浅说 XSS 和 CSRFWeb安全系列——XSS攻击网络安全-CSRF

XSS

跨站脚本攻击(Cross Site Script),这种攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据。这些恶意程序通常是javascript,但也可能是Java,VBScript,ActiveX,Flash甚至是普通的HTML。如果攻击成功,攻击者就可能会获得更高权限,如用户的隐私数据cookie、session等,也可能会将victim重定向到由攻击者控制的网站,在victim的机器上进行一些恶意操作。

XSS 攻击分类

XSS攻击可以分为三类,一类是“反射型”,一类是“存储型”,还有一类”DOM Based”

反射型XSS

反射型XSS,也叫作非持久型XSS,字面理解,就是仅对当次页面访问有影响,通常要求用户访问一恶意连接,或者要提交一个表单,或者是进入一个被攻击者篡改后的网站。我们将XSS攻击的恶意脚本称为XSS Payload.反射型XSS把XSS的Payload写在URL中,通过浏览器直接“反射”给用户。

存储型XSS

存储型XSS,也叫持久型XSS,会把黑客输入的恶意脚本存储在数据库中或者说服务器端,当其他用户浏览包含该恶意脚本的页面时,就会执行该恶意脚本。如将恶意代码注入到一个新闻文本中或者评论中都会使访问该页面的用户执行这段恶意代码

DOM Based

基于 DOM 的 XSS 攻击是指通过恶意脚本修改页面的 DOM 结构,是纯粹发生在客户端的攻击。payload不在服务器发出的HTTP响应页面中,当客户端脚本运行时(渲染页面时),payload才会加载到脚本中执行

XSS的可能后果

  • Cookie劫持攻击,Cookie中一般会保存用户的登录凭证,如果被盗取,可能通过Cookie登进用户的账户进行恶意操作
  • 框架钓鱼,利用JS脚本操作网页中的DOM结构和内容,通过JS脚本,生成虚假的页面,欺骗用户执行操作,从而将用户所有的输入发送到攻击者的服务器上
  • 。。。。。

XSS的预防

现如今好多浏览器都内置了XSS的措施,如firfox的CSP,IE8内置的XSS Filter等,开发者还可以使用的其他常用防御手段有

  • HttpOnly防止截取Cookie
    HttpOnly由微软提出,在IE6中实现,如今已逐渐成为标准,浏览器将禁止页面的Javascript 访问带有 HttpOnly 属性的Cookie,因此可以防止XSS攻击后的Cookie劫持

  • 输入检查
    不相信用户的任何输入,对于用户的输入一律进行检查,过滤和转义,建立可信任的字符和HTML标签白名单,对于不再白名单之列的自负或者标签进行过滤或编码

  • 输出转义
    在服务器端输出数据之前对潜在的威胁的字符进行编码、转义

CSRF

跨站请求伪造(Cross-site request forgery),也叫作one-click attack 或者 session riding,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
通常的CSRF攻击是攻击者借助受害者的Cookie骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下操作

可能情况: 用户已经登录了www.aaa.com,自然aaa这个网站就会将用户的登录状态session存在cookie中;然后,aaa.com这个网页有一个对作品点赞的功能,点赞提交地址为aaa.com/api.like?id=777;这时,另外一个叫www.bbb.com的网站,放了这样一个元素< img src=”aaa.com/api.like?id=888”>,这样的话,一旦用户进入这个bbb.com页面,就会请求aaa.com这个网站的点赞接口,而且点赞的用户对象是888;最后因为用户的登录信息尚未过期,那就等于给id为888这个作品点赞了,然而,用户并不知情。

CSRF的预防

  • Referer Check
    通过HTTP的referer可知道,用户是通过哪个网站发送这个请求的。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,所以可以通过判断referer的值来防御CRSF攻击,但是referer的判断并不是好方法,有各种方式可以绕过的方法
  • 添加 token 验证
    CSRF 攻击之所以能够成功,是因为攻击者可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 Cookie 中,因此攻击者可以在不知道这些验证信息的情况下直接利用用户自己的 Cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入攻击者所不能伪造的信息,并且该信息不存在于 Cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求

CSRF和XSS的对比

XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。

Chloe777
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解XSS攻击与CSRF攻击
马小兜要努力呀
07-23 674
什么是XSS攻击? XSS中文名称就是跨站脚本攻击。XSS的重点不在于跨站点而在于脚本的执行,那么XSS的原理是:恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中的script代码会执行,因此会达到恶意攻击用户的目的。XSS攻击分为如下几类:反射型、存储型、DOM-based型,反射型和DOM-based型可以归类为非持久的XSS攻击,存储型可以归类为持久性的XSS攻击。 反射型XSS 简而言之,代码出现在url中,作为输入提交到服务器端 原理:反射型
网络攻击(XSSCSRF)详解
程序员世杰
02-20 2726
一、XSS (一)XSS 原理 Xss(cross-site scripting) 攻击:全称跨站脚本攻击,通过向某网站写入 js 脚本或插入恶意 html 标签来实现攻击。 比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取 cookie 中的用户私密信息; 或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。 (二...
014_浅说 XSSCSRF
weixin_30583563的博客
07-16 734
Web 安全领域中,XSSCSRF 是最常见的攻击方式。本文将会简单介绍 XSSCSRF 的攻防问题。 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击...
XSSCSRF、SSRF的概念,防御和实验
ploto_cs的博客
09-22 1343
XSSCSRF、SSRF的概念,防御和实验 一.概念 相同点: XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点: XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的脚本语句被执行。 CSRF(跨站请求伪造)是服务器端没有对用户提交的数据进行随机值校验,且对http请求包内的refer字段校验不严,导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
在网络安全领域,XSS(Cross-Site Scripting)和CSRF(Cross-Site Request Forgery)是两种常见的攻击手段,而HTML注入则是它们的一种利用方式。这个“xss+csrf+html练习源码.rar”文件提供了针对这些漏洞的实战练习...
跨站攻击(XSS+CSRF).docx
最新发布
01-05
2. 了解Impossible等级的XSS攻击机制和防御方法。 3. 从攻击者和受害者角度理解CSRF攻击,实施Low、Medium、High等级的CSRF攻击。 4. 学习并实践CSRF的修复措施,如使用CSRF Token等。 5. 撰写实验报告,注重规范性...
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
XSSCSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
WEB安全XSS和CRSF攻击
NickWU博客
07-23 1116
XSS定义XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM Based XSS漏洞,另一种是Stored XSS漏洞。理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞,漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。类似的攻击还有XSRF,XSRF是在本地生成cookie,模仿或者伪造跨域请求者信息,
token为什么能防止csrf_注意!!CSRFXSS攻防知识点来了
weixin_39740737的博客
11-29 4660
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
XSS漏洞分类及危害
热门推荐
lay_loge的博客
05-22 3万+
常见的XSS漏洞分为存储型、反射型、DOM型三种。 (1)反射型XSS 用户在请求某条URL地址的时候,会携带一部分数据。当客户端进行访问某条链接时,攻击者可以将恶意代码植入到URL,如果服务端未对URL携带的参数做判断或者过滤处理,直接返回响应页面,那么XSS攻击代码就会一起被传输到用户的浏览器,从而触发反射型XSS。例如,当用户进行搜索时,返回结果通常会包括用户原始的搜索内容,如果攻击者精心构...
关于Token 验证与存储 xss csrf 攻击防御措施
qq_36760953的博客
03-04 3156
关于Token 验证与存储 xss csrf 攻击防御措施 1.如果只存入cookie会被xss攻击劫持,并发动csrf攻击,但可以设置cookie的HTTPOnly属性,不被浏览器获取到cookie,但也不能完全保证不被xss劫持。 2.同时存入cookie和session,session中的token放入表单的隐藏域中,传到后台与cookie中的进行判断,但是使用session会被黑...
XSSCSRF——Web安全领域常见的两种攻击方式
Concise200的博客
03-28 6166
Web安全领域,XSSCSRF是最常见的攻击方式。
前端攻防(XXS、CRSF、sql注入)
qq_31392495的博客
10-21 1926
一、XXS跨站脚本攻击 原理:恶意攻击者在web页面中插入一些恶意的script代码。 攻击类型:丰持久性XSS攻击(反射型和DOM-base型)和持久性XSS攻击(存储型) 1.1 反射型 攻击步骤: 攻击者将恶意XSS代码写在目标网站url的search中,将url发给受害者 受害者用户打开该页面,XSS代码作为输入提交到服务端,服务端将XSS代码从url中取出拼接到html中返回给浏览器 浏览器解析html的同时会执行XSS恶意代码 恶意代码执行后,获取用户信息并发送到攻击者的服务器 攻击者
XSS详解(概念+靶场演示)反射型与存储型的比较与详细操作
Hala
05-04 1万+
目录 XSS(跨站脚本攻击) 1.XSS简介 1.1什么是XSS? 1.2 XSS攻击的危害包括: 2. 分类 2.1反射型 2.2存储型 3. 构造XSS脚本 3.1常用HTML标签 3.2常用javascript方法 4.反射型(四种安全级别演示) 4.4.1低安全级别 4.4.2 中安全级别 4.4.2 高安全级别 4.4.2 不可能安全级别 5.存储型(四种...
XSSCSRF原理及防御
楚楚梦厦的博客
11-02 3818
1. XSS是什么 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等 XSS 常见的注入方法: 在 HTML 中,恶意内容以 script 标签形成注入。 在标签的 href、src 等属性中,包含 javascript: (伪协议)等可执行代码。 onload、onerror、onclick 等事件中,注入不受控制代码
CSRFXSS 科普与防御
edwardwzw的博客
01-04 2886
CSRF (Cross Site Request Forgery) 跨站请求伪造 攻击 案例演示: 防御 解决方案: 1. 尽量使用 POST ; 2. 加入验证码; 3. 验证 Referer
xss+csrf组合拳
09-20
XSSCSRF是两种常见的网络安全漏洞。当它们结合在一起时,会构成一种更加危险的攻击方式,被称为"XSS CSRF组合拳"。下面是一种可能的攻击方式: 1. 攻击者在恶意网站B中插入CSRF payload,并使用该CSRF payload...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值