XSS和CSRF 攻击 --- 通俗易懂的解释

最新推荐文章于 2023-01-17 09:56:01 发布
最新推荐文章于 2023-01-17 09:56:01 发布
阅读量229 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loveapple0927/article/details/108416470
版权

XSS本质是Html注入,和SQL注入差不多。
1,页面输入框,你写一段sql语句或者url访问,插入进去,让浏览器帮忙带着cookie去跑到自己的建的server上去。。
2,页面输入的脚本X,点save后入库了,比如管理员在页面上load出user输入的数据的时候,脚本X执行了,把管理员的信息通过这段脚本 送给了 攻击人

CSRF
https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/

XSS:城门已破,黑客携带各种武器在城内为所欲为
CSRF:城门未破,黑客仅能借用户的通行令牌进入城内做小偷小摸的事

xss:攻击者盗用用户身份来做事。[盗用身份之后可以做很多事]
csrf:攻击者利用用户的手来做事。[借用户的手来做事,做的事有局限性]

https://www.cnblogs.com/lsj-info/p/9479755.html

loveapple0927
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
XSSCSRF两种跨站攻击总结
02-26
但是,历史同样悠久的XSSCSRF却没有远离我们。由于之前已经对XSS很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过Tidy之类的过滤,我一定会在模板输出时候全部转义。所以个人感觉,要避免...
通俗易懂xss
weixin_30488313的博客
09-16 124
链接 xss防火墙 转载于:https://www.cnblogs.com/dhsz/p/7530501.html
XSS攻击CSRF(通俗易懂)
qq_42931285的博客
09-01 322
XSS(跨站脚本攻击) 是指攻击者在返回的 HTML 中嵌入 javascript 脚本,在用户浏览网页的时候进行攻 击,比如获取 cookie,或者其他用户身份信息,可以分为存储型和反射型,存储型是攻 击者输入一些数据并且存储到了数据库中,其他浏览者看到的时候进行攻击,反射型的 不存储在数据库中,往往表现为将攻击代码放在 url 地址的请求参数中,防御的为 cookie 设置 httpOnly 属性,为了减轻这些攻击,需要在 HTTP 头部配上,set-cookie: httponly-这个属性可以.
XSSCSRF简单理解
GdutLq的博客
04-06 360
1.什么是 XSS ? 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表 CSS 混淆,故将跨站脚本攻击缩写为 XSS)。恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。 XSS允许攻击者可以在其他用户浏览的web页面中注入客户端脚本。一个跨站脚本漏洞可能会被攻击者用来绕开访问限制,例如同源策略。 XSS 主要有如下三种分类: • Reflected XSS(基于反射的
xss攻击理解
摘星辰Li
10-10 379
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会和cookie等各种内容。 XS...
xsscsrf通俗理解
lmp5023的博客
10-10 194
csrf是用户访问A网站,并且访问B网站,B网站携带攻击性代码,以用户的身份去访问A网站 xss则是在通过在jq加入代码,触发攻击性代码
跨站攻击(XSS+CSRF).docx
01-05
总结来说,XSSCSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
TokenBasedSafe:一个展示针对XSSCSRF攻击的防护的网站
04-29
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的Reactjs... 该网站用于演示针对XSSCSRF攻击的防护
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,文章会分享出整个Filter文件包,包含四个java文件: 5.1,public class CrosXssFilter implements Filter 5.2,public class CrosXssFilterConfig implements WebMvcConfigurer 5.3,public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter 5.4,public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper 6,服务器白名单校验的java文件: 6.1,public class ServerWhiteListUtil 7,如果不要需要使用服务器白名单功能,那么,注释CrosXssFilter.java 文件的36-39行文件代码即可 原文链接:https://blog.csdn.net/zlxls/article/details/107432468
xss篇-本着就了解安全本质的想法,尽可能的用通俗易懂的语言去解释安全漏洞问题...
weixin_34392843的博客
12-31 184
前言 最早接触安全也是从xss攻击和sql注入攻击开始的。 0x01 跨站脚本攻击漏洞(XSS),是客户端脚本安全中的头号大敌,owasp top10 屡居榜首,由于攻击手法较多,开发者水平不一,危害性又往往被人忽视,这就造成了xss普遍的存在。 0x02 xss漏洞本质还是注入攻击的一种,为什么叫跨站脚本攻击,跨站就是不同站之间,脚本攻击呢这里的脚本其实是js脚本,所以只要是...
自己对csrfxss的一些简单理解
Vintage
03-03 290
虽然自己没有遇到过csrfxss这两种安全问题,项目中也基本上不会考虑到这些,可能是项目里面涉及安全信息的东西基本较少吧。最近是闲着没事看看一些题目,才想起来把这两个给稍微理解下,不过没有遇到过,也只是属于知道有这回事。 CSRF CSRF(Cross-site request forgery) 意思就是跨站请求伪造;举个大家都用例子,用户在当前信任且已保存登录...
CSRF的简单理解
wdhxs的博客
11-30 932
CSRF(Cross-site request forgery,跨域请求伪造) 文章目录CSRF(Cross-site request forgery,跨域请求伪造)前言一、CSRF的过程二、如何防御CSRF攻击1.验证 HTTP `Referer` 字段2.使用验证码3.使用token验证 前言 CSRF是一种安全问题:攻击者盗用你的身份(客户端获取的cookie)想第三方网站发送请求,进行非法操作。 一、CSRF的过程 以访问银行网站为例: 用户User访问银行网站,登录成功后,客户端生成相应cook
xss的简单的理解
西部壮仔的博客
11-26 252
什么是xss XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大...
XSS攻击学习笔记
长源的博客
08-08 769
教程:http://edu.51cto.com/course/5733.html 进行XSS攻击时,常用的HTML标记:<script></script>、<iframe></iframe>、<img />  
xss基本概念和原理介绍
北冥有鱼
04-10 1789
跨站脚本漏洞-目录 xss漏洞概述 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。 XSS(窃取cookie)攻击流程 ...
dvwa中的xss(跨站脚本)攻击
无痕的博客
01-17 2197
xss攻击介绍与在dvwa中的xss攻击演示
XSS攻击及防御(简单易懂)
liu_chenglong的博客
11-10 6970
翻译过来就是跨站脚本。指的是在用户浏览器上,在渲染DOM树的时候,执行了不可预期的JS脚本,从而发生了安全问题。XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。
sql注入 xss攻击csrf攻击的区别
最新发布
06-13
SQL注入、XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是三种常见的网络安全威胁,它们针对的应用场景和攻击机制有所不同。 1. SQL注入: - **定义**:攻击者通过在输入字段中插入恶意SQL代码,欺骗应用程序执行非...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值