渗透测试-XSS、CSRF原理及防御

已于 2023-01-20 00:27:30 修改
阅读量3.4k 收藏 5
点赞数
分类专栏: 渗透测试 文章标签: 安全性测试 web安全 安全
于 2022-10-07 12:23:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/127172150
版权

XSS、CSRF原理及防御

1. XSS是什么

Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等

XSS 常见的注入方法:

  • 在 HTML 中,恶意内容以 script 标签形成注入。
  • 在标签的 href、src 等属性中,包含 javascript: (伪协议)等可执行代码。
  • onload、onerror、onclick 等事件中,注入不受控制代码。
  • 在 style 属性和标签中,包含类似 background-image:url(“javascript:…”); 的代码(新版本浏览器已经可以防范)。

2. XSS的分类

存储型、反射型和 DOM 型三种

存储型 XSS(持久型)

  1. 攻击者将恶意代码提交到目标网站的数据库中。
  2. 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。
  3. 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
  4. 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
  5. 常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等。

反射型 XSS

  1. 攻击者构造出特殊的URL,其中包含恶意代码。
  2. 用户打开带有恶意代码的 URL 时,网站服务端将恶意代码从 URL 中取出,拼接在 HTML 中返回给浏览器。
  3. 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
  4. 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

反射型 XSS 跟存储型 XSS 的区别是: 存储型 XSS 的恶意代码存在数据库里,反射型 XSS 的恶意代码存在 URL 里

DOM 型 XSS

  1. 攻击者构造出特殊的 URL,其中包含恶意代码。
  2. 用户打开带有恶意代码的 URL。
  3. 用户浏览器接收到响应后解析执行,前端 JavaScript 取出 URL 中的恶意代码并执行
  4. 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

DOM 型 XSS 跟前两种 XSS 的区别: DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前端 JavaScript 自身的安全漏洞,而其他两种 XSS 都属于服务端的安全漏洞。

3. 常用防范方法

  1. httpOnly: 在 cookie 中设置 HttpOnly 属性后,js脚本将无法读取到 cookie 信息。
  2. 输入过滤: 一般是用于对于输入格式的检查,例如:邮箱,电话号码,用户名,密码……等,按照规定的格式输入。
  3. 编码: 将特殊字符(如<等)转换为HTML实体
  4. 限制长度: 一般xss攻击要能达成往往需要较长的字符串,因此对于一些可预期的输入,可以通过限制长度强制截断来进行防御。
  5. DOM 中的内联事件监听器,如 location、onclick、onerror、onload、onmouseover 等,a 标签的 href 属性,JavaScript 的 eval()、setTimeout()、setInterval() 等,都能把字符串作为代码运行。如果不可信的数据拼接到字符串中传递给这些 API,很容易产生安全隐患,请务必避免。

4. CSRF是什么

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。如:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
在这里插入图片描述
CSRF与 XSS 区别

  • 通常来说 CSRF 是由 XSS 实现的,CSRF 时常也被称为 XSRF(CSRF 实现的方式还可以是直接通过命令行发起请求等)。
  • 本质上讲,XSS 是代码注入问题,CSRF 是 HTTP 问题。 XSS 是内容没有过滤导致浏览器将攻击者的输入当代码执行。CSRF 则是因为浏览器在发送 HTTP 请求时候自动带上 cookie,而一般网站的 session 都存在 cookie里面(Token验证可以避免)。

5. CSRF防御

  1. 验证码: 强制用户必须与应用进行交互,才能完成最终请求。此种方式能很好的遏制 csrf,但是用户体验比较差。
  2. Referer check: 请求来源限制,此种方法成本最低,但是并不能保证 100% 有效,因为服务器并不是什么时候都能取到 Referer,而且低版本的浏览器存在伪造 Referer 的风险。
  3. token: token 验证的 CSRF 防御机制是公认最合适的方案。若网站同时存在 XSS 漏洞的时候,这个方法也是空谈。
炫彩@之星
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WEB渗透学习-XSS-labs靶场
04-20
XSS-labs为WEB渗透中跨站脚本攻击专项练习靶场,内含多种攻击方式,采用关卡制,由易到难,适合刚接触该漏洞的新手巩固练习
XSSCSRF、SSRF的概念,防御实验
ploto_cs的博客
09-22 1272
XSSCSRF、SSRF的概念,防御实验 一.概念 相同点: XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点: XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的脚本语句被执行。 CSRF(跨站请求伪造)是服务器端没有对用户提交的数据进行随机值校验,且对http请求包内的refer字段校验不严,导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器
渗透测试-一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御
lza20001103的博客
08-25 2053
一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御 文章目录一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御一、相同点与不同点相同点不同点XXE漏洞二、防御1、XSS2、CSRF3、SSRF4、XXE三、面试题 一、相同点与不同点 相同点 XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点 XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的
webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)
wangluoanquan111的博客
02-26 950
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。在流量层,冰蝎的aes特征一直是厂商查杀的重点,在主机层,aes相关的API也是一个强特征。既然是特征,那就一定存在一个一成不变的常量,那我们就把这个特征泛化一下,让他成为变量。为了一劳永逸解决这个问题,
XSSCSRF、SSRF漏洞的攻击原理以及防御
qq_57307348的博客
02-24 1120
XSS xss:跨站脚本攻击,不需要做任何的登录认证,通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本程序或者攻击者在Web页面里插入恶意script代码,当用户浏览该页之时,嵌入Web里面的script代码会被执行,从而达到恶意攻击用户的目的。 攻击条件 向web页面注入恶意代码 这些恶意代码能够被浏览器成功的执行 攻击原理 xss漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后, 在输到前端时被浏览器当作有效...
CSRF漏洞详解
xcxhzjl的博客
11-19 2793
一、CSRF漏洞原理 1、基本原理 CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRFXSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。 2、流程图 3、条件 ●用户成功登陆了网站系统,能执行授权的功能 ●目标用户访
冰蝎Bhinder下载安装包
09-26
冰蝎(Bhinder)动态二进制加密网站管理客户端。基于JAVA,需要安装jre,可以跨平台使用。主要功能为:基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等。
XSS详解
分享与记录
03-24 766
XSS简介: 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets)的缩写混淆,将跨站脚本攻击的缩写改为XSSXSS是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种,恶意攻击者往web页面里插入恶意script代码,当用户浏览该网页时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。攻击成功之后,恶意...
网络安全-XSS原理、攻击及防御
msb_114的博客
06-04 629
跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意javascript代码(也可能包含html代码),当用户浏览网页之时,嵌入其中Web里面的JavaScript代码会被执行,从而达到恶意攻击用户的目的。XSS是攻击客户端,最终受害者是用户,当然,网站管理员也是用户之一。XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是。
冰蝎-Webshell管理工具
weixin_66717977的博客
06-30 4171
冰蝎超详解,新手食用
冰蝎Behinder_v4.0
热门推荐
一醉一休的博客
10-13 1万+
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测
渗透测试xss测试语句
07-14
console.log输出语句,不能绕WAF
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
07-XSS之攻击与防御1
08-03
1、论安全响应中心的初衷 2、安全应急响应中心之威胁情报探索 3、论安全漏洞响应机制扩展 4、企业级未授权访问漏洞防御实践 5、浅谈企业SQL注入漏洞的危害与防
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
:Japanese_secret_button: 反XSS “跨站点脚本(XSS)是一种通常... 阅读此文本-> XSS(跨站点脚本)预防备忘单测试此工具-> Zed攻击代理(ZAP) 通过“ composer require”安装composer require voku/anti-xss 用法:
20.安全性测试与评估
shihao的博客
04-04 971
每年都会涉及;可能会考大题;典型考点:sql注入、xss;从2个方面记:1、测试对象的功能、性能;2、相关设备的工作原理;如防火墙,要了解防火墙的功能、工作原理;主要议题:基本安全策略、数据库、操作系统、安全日志考察较多;其他议题偶尔涉及;
安全与网络安全:有什么区别?
最新发布
Dexun_chuqi的博客
04-15 457
网络安全重点关注用于在网络级别保护数据、应用程序和资源的工具。主要重点是防止未经授权的访问整个网络基础设施的各个部分或部分之间的访问。当大多数人想到未经授权的访问时,他们倾向于想象一个人或设备在未经授权的情况下尝试连接到有线或无线局域网。防止此类未经授权的访问的网络安全工具包括用于有线和无线网络的网络访问控制和企业移动管理平台。另一种防止未经授权的访问的方法是在公司网络的互联网边缘放置防火墙和入侵防御系统 ( IPS )。
网络安全(黑客)—2024自学手册
dexi113的博客
04-12 654
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!
网络安全(黑客技术)—2024自学手册
Dasdwer的博客
04-12 857
如何成为一名黑客? 很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习导航三大章节,涉及价值观、方法论、执行力、行业分类、职位解读、法律法规政策、国家政府机构、安全企业、安全媒体、安全工具、安全标准、书籍教材、视频教程、学习路线、面试题、靶场、SRC、CTF 等 20+ 细分专题。(文末有福利~)
学习渗透测试学习回顾
03-22
学习渗透测试是一项非常重要的技能,它涉及到发现和利用计算机系统中的安全漏洞。以下是学习渗透测试的一些关键点: 1. 学习网络基础知识:了解计算机网络的基本原理、协议和常见的网络攻击方式,例如TCP/IP协议、HTTP协议、DNS等。 2. 学习操作系统:熟悉常见的操作系统,如Windows和Linux,并了解它们的安全机制和漏洞。 3. 学习编程和脚本语言:掌握至少一种编程语言,如Python、C++或者脚本语言如Bash,这将有助于编写自动化工具和脚本。 4. 学习漏洞扫描和渗透测试工具:熟悉常用的渗透测试工具,如Nmap、Metasploit、Burp Suite等,了解它们的使用方法和原理。 5. 学习漏洞分析和利用:了解常见的漏洞类型,如SQL注入、XSSCSRF等,并学习如何分析和利用这些漏洞。 6. 学习安全防护措施:了解常见的安全防护措施,如防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等,以及如何绕过这些防护措施。 7. 实践和练习:通过参与CTF比赛、搭建自己的实验环境、阅读相关书籍和文章等方式进行实践和练习,提升自己的技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值