Http的会话跟踪和跨站攻击(xss)

最新推荐文章于 2023-07-17 23:40:17 发布
最新推荐文章于 2023-07-17 23:40:17 发布
阅读量3.4k 收藏 2
点赞数 1
分类专栏: 面试 计算机专业面试 Android安全 计算机面试基础 文章标签: xss csrf xsrf 跨站攻击 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lpjishu/article/details/50917092
版权
本文详细介绍了HTTP的会话跟踪技术,包括URL重写、隐藏表单域、Cookie和Session。同时,深入探讨了跨站攻击,如CSRF(Cross-site request forgery)和XSS(Cross Site Scripting),并提供了防范这两种攻击的策略,如使用POST请求、验证码、Token等。
摘要由CSDN通过智能技术生成

会话跟踪

什么是会话?

客户端打开与服务器的连接发出请求到服务器响应客户端请求的全过程称之为会话。

什么是会话跟踪?

会话跟踪指的是对同一个用户对服务器的连续的请求和接受响应的监视。

为什么需要会话跟踪?

浏览器与服务器之间的通信是通过HTTP协议进行通信的,而HTTP协议是”无状态”的协议,它不能保存客户的信息,即一次响应完成之后连接就断开了,下一次的请求需要重新连接,这样就需要判断是否是同一个用户,所以才有会话跟踪技术来实现这种要求。

会话跟踪常用的方法:

URL重写

URL(统一资源定位符)是Web上特定页面的地址,URL重写的技术就是在URL结尾添加一个附加数据以标识该会话,把会话ID通过URL的信息传递过去,以便在服务器端进行识别不同的用户。

隐藏表单域

将会话ID添加到HTML表单元素中提交到服务器,此表单元素并不在客户端显示

Cookie是Web服务器发送给客户端的一小段信息,客户端请求时可以读取该信息发送到服务器端,进而进行用户的识别。对于客户端的每次请求,服务器都会将Cookie发送到客户端,在客户端可以进行保存,以便下次使用。

客户端可以采用两种方式来保存这个Cookie对象,一种方式是保存在客户端内存中,称为临时Cookie,浏览器关闭后这个Cookie对象将消失。另外一种方式是保存在客户机的磁盘上,称为永久Cookie。以后客户端只要访问该网站,就会将这个Cookie再次发送到服务器上,前提

最低0.47元/天 解锁文章
fesng
关注
专栏目录
【Web安全】XSS Attacks 跨站脚本攻击
IN THE ZONE
07-06 892
XSS XSS XSS
使用Javascript实现前端防御http劫持及防御XSS攻击并且对可疑攻击进行上报
08-10
httphijack 使用Javascript实现前端防御http劫持及防御XSS攻击,并且对可疑攻击进行上报 使用方法 引入 httphijack1.0.0.js httphijack.init() 防范范围: 所有内联事件执行的代码 href 属性 [removed] 内嵌的代码 静态脚本文件内容
浅谈“跨站跟踪攻击(即CST/XST攻击)”
→_→
05-23 1879
漏洞名称: Cross-Site-Tracing"简称为 CST / XST-跨站式追踪攻击 描述: 攻击者将恶意代码嵌入一台已经被控制的主机上的web文件,当访问者浏览时恶意代码在浏览器中执行,然后访问者的cookie、http基本验证以及ntlm验证信息将被发送到已经被控制的主机,同时传送Trace请求给目标主机,导致cookie欺骗或者是中间人攻击。 检测条件: 需要目标 Web 服务器允许接受 Trace、Track 方法的请求。 客户端可以发送 Trace、Track..
XSS Attack
elicer
02-25 452
Cross-site Scripting (XSS)   Overview   Cross-Site Scripting attacks are a type of injection problem, in which malicious scripts are injected into the otherwise benign and trusted web sites. Cro...
TRACE请求引起的反射型XSS漏洞
08-19 759
HTTP定义了一组请求方法,以表明要对给定资源执行的操作。指示针对给定资源要执行的期望动作。 虽然他们也可以是名词, 但这些请求方法有时被称为HTTP动词. 每一个请求方法都实现了不同的语义。其中,TRACE方法沿着到目标资源的路径执行一个消息环回测试。 关于TRACE方法 客户端发起一个请求时,这个请求可能要穿过防火墙、代理、网关或其他一些应用程序。每个中间节点都可能会修改原始的 ...
开发代码安全规范-防SQL注入和XSS跨站攻击代码编写规范.docx
07-14
开发代码安全规范旨在确保软件开发过程中对SQL注入和XSS跨站攻击的防范,这是互联网应用开发中的两个重要安全问题。以下是对这两个安全威胁的详细解释以及对应的代码编写规范: **SQL注入** 是一种常见的攻击手段,...
JavaWeb会话跟踪技术
02-11
不过,Cookie有一定的局限性,比如它们可以被禁用、大小有限制,且存在跨站脚本攻击XSS)的风险。 其次,Session是另一种常用的会话跟踪方式。在JavaWeb中,服务器通过HttpServletRequest的getSession()方法创建...
XSS攻击及防御总结和各平台通关思路
qq_43710889的博客
08-05 3517
XSS原理 跨站脚本攻击XSS(cross site scripting)。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利用网漏洞把恶意的脚本代码注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采用cookie窃取、会话劫持、钓鱼欺骗等各种攻击。 漏洞存在的主要原因: 参数输入未经过安全过滤 恶意脚本被输出到网页 用户的浏览器执行了恶意脚本 XSS漏洞分类 1.反射型XSS 也称非持久型、参数型跨站脚本。主要用于恶意脚本附加在URL地址的参数中。他需要欺骗
会话跟踪技术。
yzh2776680982的博客
11-18 1572
▶ 概念Cookie:客户端会话技术,将数据保存到客户端,以后每次请求都携带Cookie数据进行访问。▶ Cookie的工作流程服务端提供了两个Servlet,分别是ServletA和ServletB浏览器发送HTTP请求1给服务端,服务端ServletA接收请求并进行业务处理服务端ServletA在处理的过程中可以创建一个Cookie对象并将`name=zs`的数据存入Cookie服务端ServletA在响应数据的时候,会把Cookie对象响应给浏览器。
【网络安全】DVWA之 Weak Session IDs -弱会话- 攻击姿势及解题详析合集
等风来
06-16 3165
通过在特定时间点之前获取 Cookie 的值,并在该时间点之后使用 Cookie 进行会话劫持,攻击者可以获得未经授权的访问权限。会话劫持漏洞的利用:在存在会话劫持漏洞的应用程序中,攻击者可以使用弱会话 ID 来加速或扩大会话劫持攻击会话固定攻击攻击者通过伪造会话 ID,欺骗用户访问恶意网或点击恶意链接,进而获取用户的合法会话标识。代码中使用的会话 ID 是通过递增的方式生成的,这种生成方式容易被攻击者猜测或推测出合法的会话标识,从而增加会话劫持攻击的风险。攻击者可以利用时间戳漏洞,通过在。
【多轮对话】多轮对话状态追踪技术综述
百川的博客
02-28 3680
对话状态定义:对话一个会话状态S_t,它包含知道前当前轮次t的对话历史的总结,S_t中包含了系统选择下一步action的所有信息。S_t一般都是槽位状态的分布。(意图也可以作为一种槽位状态) 会话状态跟踪就是根据所有的历史上下文信息,获得到当前轮的会话状态
WEB数据安全及会话跟踪
bronze_s的博客
01-26 151
web加密处理: HTTPS加密传输:https在传输过程中是可以通过加密来保护数据安全的,以免用户名敏感信息被第三方获取。可以说https是http的升级版、安全版,即:https=http+ssl 客服端发起https请求,连接到服务端的443端口(https协议默认的端口) 服务段提供证书公钥和私钥 返回证书的公钥 客户端解析证书:判断证书是否有效、生成随机值、公钥加密随机数 将加密后的随机数发送给服务端 服务端使用私钥进行解密,得到随机数 服务端将加密的内容发回客户端 客户端根据本地存储的随机数
攻击类型跨站攻击的解决方案
莫莫的家
08-07 2002
漏洞描述:        跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容, 使得其他网用户在观看此网页时,这些代码注入到了用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击攻击者可窃会话COOKIE从而
什么是会话劫持攻击以及如何防止会话劫持
allway2的博客
08-02 4328
会话固定是通过从各种来源识别会话ID进入用户计算机的最常见方式,例如在URL参数中找到会话ID,隐藏在表单中,保存在cookie中。这基本上取决于他们,他们可以将钱从受害者的账户转移到另一个版本,从众多的网上商店购物,窃取受害者的所有重要和秘密信息,等等。今天,会话ID是随机生成的,为用户提供了高度的安全性。攻击者将在不可见的情况下执行他们的活动,因此不会有迹象表明他们的计算机被操纵。此外,用户的计算机将从网的安全层传递,这使得攻击者很容易渗透服务器并请求所需的数据。...
HTTP 攻击
康师父Blog
03-08 4721
一、XSS攻击,通过script 代码进行攻击。 危害:可以实现对网的非法访问提示弹框或者引导用户把提交信息指定非法网,记录后。再返回原网。 事例:http://localhost/index.php?q="<script>alert('你被攻击了')</script>" 二、SQL攻击,通过可以执行SQL的获取参数,进行特殊处理。 危害:可以实现对数据库的相...
trace方法引起的xss漏洞
haoaaao的博客
04-27 1879
HTTP定义了一组请求方法,以表明要对给定资源执行的操作。指示针对给定资源要执行的期望动作。 虽然他们也可以是名词, 但这些请求方法有时被称为HTTP动词. 每一个请求方法都实现了不同的语义。其中,TRACE方法沿着到目标资源的路径执行一个消息环回测试。 关于TRACE方法 客户端发起一个请求时,这个请求可能要穿过防火墙、代理、网关或其他一些应用程序。每个中间节点都可能会修改原始的 HTTP 请求。TRACE 方法允许客户端在 最终将请求发送给服务器时,看看它变成了什么样子。 TRACE 请求会在目的
Trace方法触发的XSS
weixin_44820552的博客
07-17 312
CST攻击是一种使用XSSHTTP TRACE功能来进行攻击的方式。它是一种攻击技巧,可以利用它避开HttpOnly对cookie提供的保护,使之能够通过客户端JavaScript获取已经标记为HttpOnly的cookie值。一般客户端向服务器请求是利用HTTP GET和POST方式,但那只是常见,还有其它方式。其中HTTP TRACE也是一种方式,这种向服务端请求信息主要用于调试web服务器连接用。如果请求有效,则在响应中会在实体中包含整个请求消息。
cookie和xss攻击
最新发布
09-27
需要注意的是,cookie 存储在客户端,因此它们可能会受到一些安全问题的影响,比如 XSS跨站脚本攻击)。 XSS 攻击是指攻击者通过注入恶意脚本代码来执行恶意操作。在 JavaScript 中,XSS 攻击可能会利用 cookie ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值