JS的33个概念—前端安全(跨站脚本攻击XSS和跨站请求伪造CSRF)

最新推荐文章于 2024-06-25 07:01:37 发布
最新推荐文章于 2024-06-25 07:01:37 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: JS的33个概念
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiaojsun/article/details/97160693
版权

1.跨站脚本攻击(XSS)

1)定义

跨站脚本攻击是基于web应用中已知的漏洞,服务端,或者依赖的插件系统。利用其中一种方式,攻击者可以把恶意内容放进目标站点传输的内容中。当这种结合的内容到达客户端的浏览器中,它就已经变成从受信任的来源传输的,然后在系统授权下进行操作。通过寻找把恶意脚本注入web页面的方法,攻击者可以获取对敏感页面的访问权限,例如对session cookie和浏览器代表用户维护的其他信息。跨站脚本攻击是代码注入的一种方式。

2)概念

反射型,存储型,基于DOM三种。

反射型

到目前为止,非持久型(反射型)跨站脚本漏洞是最基本的web漏洞。当web客户端提供数据时,就会出现这种漏洞,常见于HTTP查询参数(例如,HTML表单提交),服务端脚本在没有正确过滤请求时,就立即解析并展示页面结果给用户。

因为html文档是流式结构并且混合了控制状态,格式化,真实内容,结果页面中包含的任何未经验证的用户提交数据,如果没有正确的进行html编码,都有可能导致标签注入。一个典型例子是一个网站搜索引擎:如果搜索了一个字符串,这个搜索字符串通常会在搜索页再显示一次,告诉用户搜索了什么。如果响应没有正确忽略或者拒绝html控制字符串,跨站脚本风险随之而来。

一次反射型攻击通常通过邮件或者中立的站点来实施。诱饵通常是一个看起来安全的url,指向一个受信任的站点,但是包含XSS载体。如果受信任的站点容易受到载体影响,点击这个链接可能会导致受害者的浏览器执行注入脚本。

持久型

持久型(又称存储型)XSS漏洞是一种更有破坏性的跨站脚本缺陷的变种:当攻击者提供的数据保存到了服务端,然后永久的显示在“正常”页面,并且其他用户在浏览器是可以看到,如果这些数据没有经过正确的html编码,就会发生这种攻击。一个典型的例子就是在线留言板,允许用户发布html格式的信息,可以让其他用户看到。

例如,假设有一个数据站点,其中的会员浏览了其他会员的信息,看下是否感兴趣。由于隐私的原因,这个站点会隐藏每个用户的真实姓名和email,这些信息加密保存在服务端,只有当会员登录后才能在浏览器中看到自己真实的姓名和email,但是不能查看其他人的。

假设有一个攻击者,加入了这个站点,并且想要估算出他在站点上看到的用户的真实姓名。要做到这一点,他写了一段脚本,目的是当其他用户看他的个人信息时可以在其他人的浏览器上运行。然后这段脚本发送信息到他自己的服务器,然后就可以搜集这些信息。

为了这么做,对于“描述你的第一次约会”这样问题,攻击者给了一个简短答案(看起来很正常),但是在攻击者答案的最后是一段窃取姓名和email的脚本,如果脚本内嵌在<script>标签中,它就不会在屏幕上显示。然后假设这个站点上的另一个用户看到了攻击者的个人信息,并且查看了攻击者对“描述你的第一次约会”问题的回答,然后攻击者的脚本就会通过浏览器自动的运行,并且从用户自己的机器上窃取了他的真实姓名和email。

持久性XSS漏洞比其他类型都要重要,因为攻击者的恶意脚本可以自动渲染,不需要单独定位受害者或者诱使受害者到第三方网站。特别在一些社交网站上,这些代码可以进一步的通过账号体系被设计成自蔓延型,创造一种客户端蠕虫病毒。

注入方法可以变化很大;在一些场景中,攻击者甚至都不需要与web有功能性的交互。web应用接收的(通过邮件,系统日志,IM等)任意可以被攻击者控制的数据都有可能变成注入载体。

服务端与基于DOM的漏洞

以往第一次发现的XSS漏洞发生在所有数据处理都在服务端完成的应用中。用户输入(包含一个XSS载体)将会被发送到服务端,然后作为一个web页面返回给用户。为了提高用户体验,主流的web应用有大部分的展示逻辑是在客户端运行的,通过AJAX的方式从服务端拉取或者请求数据。

js代码也可以处理用户输入,然后渲染到页面内容中,一种新的反射型XSS攻击的子类型开始出现,被称为基于DOM的跨站脚本攻击。在基于DOM的跨站脚本攻击中,恶意数据不用和服务端交互。相反,它会被js代码完全反射在客户端侧执行。

基于DOM的XSS漏洞的例子是2011年在JQuery插件中发现的一个bug。阻止这种攻击的策略和对待传统XSS攻击的策略类似,只不过是在js代码中实施。一些js框架内建了防止XSS攻击的处理策略,例如Angular.js。

3)示例

攻击者想要利用跨站脚本漏洞,必须以不同的方式对待每种漏洞。对于每一种类型的漏洞,下面都会描述一种特定的攻击载体。下面用到的姓名是专业术语,取自计算机安全领域常用的Alice和Bob。浏览器开发框架可以被用来攻击web站点和用户的本地环境。

反射型(非持久型)

  1. Alice经常访问一个特殊站点,这个站点是Bob托管的。Bob的站点允许Alice以用户名/密码的方式登录,也存储一些敏感信息,例如账单信息。当用户登录时,浏览器保存了一个授权cookie,授权cookie看起来就像无效的字符串,所以客户端,服务端都记得她登录过。

  2. Mallory观察发现Bob的站点包含一个反射型XSS漏洞:

    1. 当她访问搜索页面时,她在输入框中输入一个搜索术语然后点击了提交按钮。如果没有找到搜索结果,页面将会展示她搜索的术语然后加上“not found”关键词,此时的url也变成了http://bobssite.org?q=搜索的术语
    2. 一个正常的搜索查询,像"puppies"这个词,页面简单的显示“puppies not found”,url变成了&
最低0.47元/天 解锁文章
jiaojsun
关注
专栏目录
js----CSRF-请求伪造攻击
weixin_34399060的博客
02-18 171
一.CSRF是什么?  CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?  你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的...
前端安全跨站脚本攻击
sunshine的博客
08-11 934
- 攻击者将恶意代码提交到目标网的数据库中。 - 用户打开目标网时,网服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。 - 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。 - 恶意代码窃取用户数据并发送到攻击者的网,或者冒充用户的行为,调用目标网接口执行攻击者指定的操作。...
安全策略】前端 JS 安全对抗&amp;浏览器调试方法
最新发布
2401_84253894的博客
06-25 687
压缩是指去除JavaScript代码中不必要的空格、换行等内容,使源码变得更加紧凑,从而降低代码的可读性,并且可以提高网的加载速度。一般而言,压缩JavaScript代码可以采用去除空格、换行和注释等方式来减小代码的体积。通过这种方式,源码可以被压缩成几行内容,从而减少了加载时需要下载和解析的数据量,加快了网页的加载速度。然而,仅仅进行空格、换行的压缩对于防护作用很小。这种压缩方式只是降低了代码的直接可读性,使用IDE、在线工具或Chrome等工具,可以很容易地将代码还原成易读的形式。
javaScript跨站脚本攻击
qq_35982570的博客
03-26 1496
脚本可以称为XSS,是攻击者向目标Web点注入HTML标签或者脚本。所以在开发过程中javaScript程序员必须意识到这点。 例如:                                var name=docodeURIComponent(window.location.search.substring(1))||"";                       
防范CSRF请求伪造-Node.js实例
星之空
06-22 608
Anti CSRF Node Example 文章目录Anti CSRF Node ExampleGet StartedChange DetailsNew Express ProjectImport csurfGenerate CSRF TokenCustom Error HandlingSend Back CSRF TokenReference https://github.com/prufen...
XSS-跨站脚本攻击 漏洞详解
m0_69043895的博客
04-20 2176
XSS全称脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
如何防止跨站脚本攻击XSS)和请求伪造CSRF)等安全漏洞?
m0_47946173的博客
01-19 1129
防止跨站脚本攻击XSS)和请求伪造CSRF)等安全漏洞需要采取一系列措施,以下是一些建议:
常见的Web攻击方式:SQL注入、XSS跨站脚本攻击CSRF请求伪造
学习
07-07 7006
常见的Web攻击有SQL注入、XSS跨站脚本攻击请求伪造共三类,下面分别简单介绍。 1 SQL注入 1.1 原理        SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入漏洞到底是以怎样的形式进行攻击的呢,接下来将以一个简单的实例来进行介绍。   &...
攻击(XSS+CSRF).docx
01-05
总结来说,XSSCSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
11.2:.NET的跨站脚本攻击XSS)和请求伪造CSRF)防护(课程共5600字,3段代码举例)
小兔子平安
08-16 124
课程为我们提供了全面的知识和实践经验,使我们能够更好地保护应用程序和用户的隐私。通过不断学习和实践,我们可以在.NET应用程序的开发过程中,始终将安全性作为重要的考虑因素,并采取有效的措施来应对不断演变的安全威胁。
Ajax与请求伪造漏洞
03-22
Ajax与请求伪造漏洞,近日,我们的网请微软的工程师作了一次漏洞扫描,扫描结果中有两个“请求伪造漏洞”。通过查资料,我做了一番研究,包括此漏洞的入侵条件,被攻击后的损失以及防范措施等。
点脚本编制(好多博客说写的过滤器亲测都是假的,都拿不到参数)
阳光
12-11 2080
为什么说别人的都是有问题的呢,看起来没问题,实际上request获取的getParameterMap拿到的Map是锁定的,不能修改,   如何修改拿到的Map呢,需要引入tomcat里的catalina.jar 参考https://blog.csdn.net/darkness_j/article/details/6325245 如下:亲测可用 最后value = HtmlUtils.ht...
js中各种网页方法
像寒冷中的松树一样坚强
04-07 644
http://www.w3.org/1999/xhtml">                 var o;         function baidushow() {             o = window.open('http://www.baidu.com');         }         function colosepage() {
页面文本框写js脚本怎么验证是否有效_XSS 跨站脚本攻击漏洞详解(反射型xss+储存型xss)...
weixin_39691233的博客
11-24 1010
XSS(Cross Site Scripting)简介:XSS 跨站脚本攻击(Cross Site Scripting),为了跟HTML里面的层叠样式表(CSS ,Cascading Style Sheets)作区分作用叫XSS.反射型XSS的入侵过程:攻击者将含有恶意JavaScript代码的URL发给用户==>用户打开URL==>web应用程序对攻击者的JavaScript做出回应...
JavaScript安全性:XSSCSRF和CORS等常见的安全漏洞及其解决方案
tyxjolin的专栏
05-08 4279
开发人员应该采取适当的措施来保护他们的应用程序免受这些漏洞的影响,包括过滤和验证用户输入、使用安全JavaScript库和框架、使用CSRF令牌和配置CORS等。本文将介绍几种常见的JavaScript安全漏洞,包括XSSCSRF和CORS,并提供解决方案以保护您的应用程序免受这些漏洞的影响。例如,一个攻击者可能会发送一个包含修改用户密码的请求,而这个请求看起来是来自用户自己的浏览器,因此网可能会对请求进行处理并修改用户密码。由于浏览器的同源策略,一般情况下,请求是不允许的。
XSS(五) xss检测与利用
shirlly_的博客
04-13 138
xss检测工具
xss(攻击)
m0_74456293的博客
03-20 2725
xss攻击)
前端页面JS注入问题,前端XSS安全问题解决办法
热门推荐
41981DC的博客
09-24 3万+
在页面中增加 JS 校验,对特殊符号进行替换,防止用户输入恶意代码导致 JS 注入问题。 在 web 开发中,对用户输入的内容做校验是必不可少的环节,不管是通过正则表达式对用户的输入进行校验,还是通过对特殊符号进行转义,均可达到目的。通过正则表达式校验,可能会导致用户体验差一点(因为用户不能自由输入~~),本文通过对 特殊符号进行转义 的方法来演示。 示例 自定义添加角色,包括角色名称、角色...
Web安全实验:攻击(XSS+CSRF)原理与实战
"本次实验主要关注的是Web安全中的两种重要攻击方式:跨站脚本攻击XSS)和请求伪造CSRF)。实验旨在让参与者深入理解这两种攻击的原理,掌握不同级别的攻击实施,并了解相应的防御和修复措施。实验环境为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值