记录下对xss和csrf的理解

最新推荐文章于 2022-10-28 10:40:48 发布
最新推荐文章于 2022-10-28 10:40:48 发布
阅读量268 收藏
点赞数
分类专栏: java 文章标签: xss csrf web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huaruanIT/article/details/122883089
版权

XSS:解释为跨域脚本攻击。

        通过页面输入等等形式将脚本传输到后端,在请求响应中回传攻击脚本,然后在浏览器执行脚本造成攻击,基本攻击方式就是:在页面输入部分添加上攻击脚本。

两种类型:

        反射型:攻击脚本跟随请求到后台,再返回给前端,由浏览器执行脚本。

        存储型:攻击脚本随请求到后台然后被后台存储,之后就不需要再在请求中放入攻击脚本,只要浏览器请求后攻击脚本被查询回传到浏览器就能发生攻击。

个人认为:xss既然能将脚本发给后台,那么不仅仅是页面被攻击,服务器、数据库这些都有可能被攻击。

        防御方式:

                1.校验输入

                2.请求编码

                3.过滤

        总之:不要相信任何用户输入的任何数据

csrf:解释为跨站伪造请求。

        攻击时序

        因为浏览器本身并不知道是哪个网站要求发起的请求,所以在浏览器被B要求访问A的时候它会毫无阻拦,那么A就被执行了并非用户发起的操作,并且还是能是A认为是合法的操作。

        防御:

                1.验证Referer(也就是请求来源),但是还是会有风险,不同浏览器的安全级别和漏洞不同。

                2.使用token。

                3.自定义header,比如后端给前端返回csrf的随机字符,前端放入cookie,每次请求再在请求数据中传给后端(攻击者不会知道cookie中放的是什么)。

+鼬神+
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSSCSRF简单理解
GdutLq的博客
04-06 362
1.什么是 XSS ? 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表 CSS 混淆,故将跨站脚本攻击缩写为 XSS)。恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。 XSS允许攻击者可以在其他用户浏览的web页面中注入客户端脚本。一个跨站脚本漏洞可能会被攻击者用来绕开访问限制,例如同源策略。 XSS 主要有如下三种分类: • Reflected XSS(基于反射的
XSSCSRF的基本理解
西部壮仔的博客
07-18 237
XSS( 跨站脚本攻击) 1.反射性xss: 它的攻击过程为当用户登录网站并获得web服务器颁发的cookie凭证时,这个时候用户点击了攻击者构造的url时,就会在服务器上请求攻击者的url,并在执行攻击者的url中的js代码,js代码会将用户的cookie通过提交给攻击者,从而攻击者就可以获得用户的身份信息。 存储型xss:这个漏洞的产生一般是因为没有对用户的输入进行过滤,一般存在留言板居多...
xsscsrf(详解)
qq_62046696的博客
06-30 4145
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
详解XSSCSRF
最新发布
sanlyshi's front-end road
10-28 1747
https://www.cnblogs.com/zhouyyBlog/p/14505961.html
简述XSSCSRF的概念和区别
weixin_39327883的博客
04-25 1万+
XSS 全称Cross Site Scripting,名为跨站脚本攻击,黑客将恶意脚本代码植入到页面中从而实现盗取用户信息等操作。 常见的攻击情景: 1、用户A访问安全网站B,然后用户C发现B网站存在XSS漏洞,此时用户C向A发送了一封邮件,里面有包含恶意脚本的URL地址(此URL地址还是网站B的地址,只是路径上有恶意脚本),当用户点击访问时,因为网站B中cookie含有用户的...
XSS平台网站源码.zip
09-28
6. 日志和异常处理:良好的日志记录和异常处理机制可以帮助识别和追踪XSS攻击尝试,源码中会包含这些功能的实现。 7. 模板引擎:一些源码可能会使用模板引擎来动态生成HTML,这些引擎通常内置了防止XSS的特性,比如...
CSRF课程.pdf
01-25
CSRF,全称为跨站请求伪造(Cross Site Request Forgery),是一种网络安全漏洞,攻击者通过诱导用户在已登录的Web应用程序上...学习此课程可以帮助你深入理解CSRF,学会如何识别和防止这类攻击,保护用户的数据安全
使用Cookie记录用户名和密码.
03-13
- **跨站请求伪造(CSRF)**:攻击者可能诱使已登录用户在不知情的情况下执行恶意操作。 - **Cookie窃取**:攻击者可能通过各种手段窃取Cookie,进而假冒用户身份。 为了增强安全性,可以采取以下措施: - **设置...
XSS Attacks
12-18
### XSS Attacks:深入理解与防御策略 #### 一、跨站脚本(XSS)攻击概述 **跨站脚本(XSS)攻击**是一种常见的Web应用程序安全威胁,它允许攻击者将恶意脚本注入到看似可信的网站上。这些脚本在用户的浏览器中...
使用Cookie记录用户名和密码
03-19
其次,考虑到跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等安全问题,我们需要采取预防措施。对于XSS,可以通过HTTPOnly标记防止JavaScript访问Cookie,减少被盗用的风险。而对于CSRF,可以生成一个随机的Token并将...
深入了解一下XSSCSRF
linjingyg的博客
11-11 407
一、XSS xss,即 Cross Site Script,中翻译是跨站脚本攻击;其原本缩写是 CSS,但为了和前端内的层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 X
csrfxss攻击的详解与区别
热门推荐
wuhuagu_wuhuaguo的博客
02-02 1万+
一、csrf攻击 1.CSRF的基本概念、缩写、全称:CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件:(1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的...
014_浅说 XSSCSRF
weixin_30583563的博客
07-16 735
Web 安全领域中,XSSCSRF 是最常见的攻击方式。本文将会简单介绍 XSSCSRF 的攻防问题。 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击...
用大白话谈谈XSSCSRF
weixin_34129696的博客
10-01 158
这两个关键词也是老生常谈了,但是还总是容易让人忘记与搞混~。XSSCSRF这两个关键词时常被拉出来一起比较(尤其是面试),我在这里也在写一篇扫盲文,也帮自己整理一下知识脉络。 这篇文章会用尽量“人话”的语言解释这二个关键词,让同学们对跨域,安全有更深一层次的了解。 国际惯例,先上一下维基百科: XSS:跨站脚本(Cross-site s...
XSSCSRF详解
Sylon的博客
06-24 2787
XSSCSRF详解 随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。 黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则...
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 1855
关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和d
浅谈xsscsrf攻击
半路出家的码农小王
05-15 2487
文章目录 前言 一、XSS是什么? 存储型(持久型) 反射型(非持久型) dom型 二、CSRF是什么? 总结 前言 由于博主目前在一家主做网络安全的公司实习,之前没有意识到网络安全的严重性,现在才感受到我们的系统存在了这么多问题,很容易被黑客攻入。下面我们一起来聊一聊最常见的两种攻击方式,xsscsrf吧! 一、XSS是什么? XSS 全称是 Cross Site Scripting(即跨站脚本),为了和CSS区分,故叫它XSSXSS攻击是指浏览器中执行恶意脚本(无论是
spring的线程、数据库连接和事务之间的关系
软件界的鼬神
11-19 3733
问题的由来: 通常我们在直接操作数据库的时候,先连上数据库,然后执行sql,那么执行一次sql就有一次事务提交,同一个连接下可以有无数的事务,而在开发的时候通常我们都是在service里面进行数据库操作比如: @Transactional @Override public void myTest(Test updateVO) { Test test = testDao.selectById(updateVO.getId()); t...
ES原理解
软件界的鼬神
08-16 2509
ES原理解读 摘要:本篇文章仅仅是谈谈个人对ES原理的理解,可能理解不对的地方,欢迎大家指出。 概念 ES就是elasticsearch,专门做文本搜索,其重要组件是Lucence。 Lucence就是一个jar包,它的主要功能就是提供封装好的各种索引算法、生成倒排索引等。 ES是基于Lucene的搜索服务器,它提供了一个分布式多用户能力的全问搜索引擎,且ES支持RestFulweb风格的url访问。ES是基于Java开发的开源搜索引擎,设计用于云计算,能够达到实时搜索,稳定、可靠、快速。此外,ES
Web安全实验:跨站攻击(XSS+CSRF)原理与实战
- High级CSRF:涉及绕过某些验证机制的攻击,可能需要更高级的技巧和对应用的理解。 实验内容包括使用Kali Linux工具对DVWA的XSSCSRF漏洞进行实战操作,同时要求理解各种级别的攻击以及修复策略。实验报告应详细...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值