web的安全性(XSS、XSRF/CSRF的攻击和防范)

最新推荐文章于 2024-05-22 22:09:28 发布
最新推荐文章于 2024-05-22 22:09:28 发布
阅读量907 收藏 2
点赞数 1
分类专栏: web通信 / 存储 / 安全 文章标签: web安全 XSS CSRF XSRF
原文链接:https://juejin.im/post/5df5bcea6fb9a016091def69
版权

一、XSS

跨站脚本攻击(也称为XSS(cross-site scripting 的缩写),为了和 CSS 区分,故叫它XSS)指利用网站漏洞从用户那里恶意盗取信息
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码、CSS样式和客户端脚本js。

XSS攻击可以分为3类:反射型((非持久型)、存储型(持久型)、基于DOM。

  1. 反射型(Reflected XSS)发出请求时,XSS代码出现在url中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,所以叫反射型XSS。
  2. 存储型 Stored XSS和Reflected XSS的差别就在于,具有攻击性的脚本被保存到了服务器端(数据库,内存,文件系统)并且可以被普通用户完整的从服务的取得并执行,从而获得了在网络上传播的能力。
  3. DOM型(DOM-based or local XSS)即基于DOM或本地的XSS攻击:其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。可以通过DOM来动态修改页面内容,从客户端获取DOM中的数据并在本地执行。基于这个特性,就可以利用JS脚本来实现XSS漏洞的利用。

这些操作一般可以完成下面这些事情:

  • 窃取Cookie。
  • 监听用户行为,比如输入账号密码后直接发送到黑客服务器。
  • 修改 DOM 伪造登录表单。
  • 在页面中生成浮窗广告。
  • 制造网页页面混乱
1、攻击方式举例:

  • 在文章中发表评论的时候偷偷插入一段< script>…< /script>代码,然后别人在访问这个文章的时候就会执行这段代码了,如果攻击代码中为获取cookie发送到攻击者服务器,那么攻击者就能拿到这个数据了。这就是恶意获取别人的信息。

  • 发布博客,在博客中插入脚本代码,别人在查看博客内容时就会执行这段脚本代码,这种不正常操作的脚本代码就会影响别人的网站。

其实就是在表单输入框中写脚本代码向页面注入脚本。

2、xss防范

开发者要时刻谨记不要相信用户输入的任何信息,一定要对用户提交的内容进行过滤。

  • 前端对关键符号进行转义,如script标签的尖括号,’<’ 替换为 ‘&lt;’ ,’>’ 替换为 ‘&gt;’ 等再提交给后台。

具体实现代码可见:https://blog.csdn.net/m0_38134431/article/details/84950653

  • 过滤用户的事件属性(如onclick等)、过滤不安全的style标签、script标签、iframe标签等

具体实现代码可见:https://blog.csdn.net/m0_38134431/article/details/84953785

  • 或者后端对前端提交的代码进行替换,这样可能性能上会好些。

xss攻击更详细参考:https://juejin.im/post/5df5bcea6fb9a016091def69#heading-64

二、XSRF/CSRF

跨站点请求伪造(也称为XSRF或CSRF(Cross-site request forgery))。指的是黑客诱导用户点击链接,打开黑客的网站,然后黑客利用用户目前的登录状态发起跨站请求。

它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

我们可以这样理解:
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

CSRF的攻击原理:
在这里插入图片描述
(重点:用户一定是注册登录过A网站,那么在B网站进行间接访问A网站的时候才能上传cookie,仿照用户登录A网站。如果没登录过,那么网站A会要求用户进行登录)

1、XSRF攻击方式举例:
  1. 你已经登录过一个购物网站,正在浏览商品
  2. 该网站的付费接口是 xxx.com/pay?id=100 但是付费时没有任何验证(当然这只是假设,现在很多电商网站验证性都做得比较安全了)
  3. 然后你收到了一封邮件,邮件有一个图片你点击了,图片地址隐藏为< img src=“xxx.com/pay?id=100” />
  4. 当你点开邮件图片的时候,就已经悄悄付款购买了,这时攻击者也拿到了你的数据了。
2、XSRF防范
  1. 不要相信不知来源的外链,当你点击了网站A的时候不要乱点击其他外链来跳转到网页A。
  2. 网站上增加验证流程(如输入指纹,密码,短信验证)
  3. token验证、referer验证、隐藏令牌(百度学习下)

CSRF攻击详细参考:https://juejin.im/post/5df5bcea6fb9a016091def69#heading-74

winne雪
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全xssxsrf
qq_41801117的博客
03-27 4324
提到前端安全,往往离不开xss(跨站脚本攻击)、xsrf(跨站伪造请求),在此记录一下关于前端安全的学习过程。 什么是xss? 跨站脚本攻击(Cross Site Scripting),为了不和css(层叠样式表)混淆,故记为xss。其原理是利用用户对某个指定网站的信任,被恶意用户进行了web攻击(通常这种攻击会利用js实现)。 简单攻击场景 某用户A逛网站时发现某可以分享文章的论坛,非常感兴趣,写下以下文章 用户A:你好,我是用户A,<script>alert(3)</script&gt
XSSCSRF攻击防御
热门推荐
zl的博客
08-17 1万+
一、概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF; 二、XSS 什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于...
CSRF 攻击详解
最新发布
只为成功找方法 不为失败找借口
05-22 1016
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
XSSCSRF的简单了解
我在长安长安
05-24 724
XSS全称为跨站脚本攻击,其特点是不对浏览器造成任何伤害,而是通过一些正常的站内交互途径,例如在网站的URL中加入javascript脚本,或者在发布评论的时候,提交含有javascript的内容文本。这个时候如果服务器没有过滤掉这些文本,当这些内容发布到了页面上,则其他用户访问这个页面时就会运行这些嗯脚本了。运行预期之外的脚本带来的后果又很多,假如注入了一段严重的错误的javascript脚本,...
CSRF/XSRF攻击XSS攻击
u012174809的专栏
05-07 523
XSS (Cross Site Scripting跨站脚本)。XSS定义的主语是“脚本”,是一种跨站执行的脚本,也就是javascript脚本,指的是在网站上注入我们的javascript脚本,执行非法操作。 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF定义的主语是”请求“,是一种跨站的伪造的请求,指的是跨站伪造用户的请求,模拟用户的
WEB安全XSSXSRF介绍及防御手段
及时行乐
10-11 646
XSS 跨站脚本攻击(cross site scripting) XSS攻击分为:反射型、存储型、DOM型 反射型 利用页面缺陷,执行脚本,从而获取用户信息。 比如:页面获取用户输入信息(用户输入),服务端未经过字符串转义或处理,直接返回到客户端。 浏览器就很容易受到XSS攻击,比如可以在页面添加脚本,把用户Cookie信息发送到黑客服务器上。这样黑客就可以获得用户登录态,进行模拟登陆。 存储型 ...
Web安全小总结:XSS,CSRF及其防御
weixin_54787877的博客
02-20 377
其实, 前端的安全并没有很多, 不过知道了, 起码后端兄弟不会那么累了。 本文主要讨论以下几种攻击方式 : XSS方式 CSRF方式 点击劫持 希望大家在阅读完文本之后, 能够很好地回答以下的几个问题: 前端的攻击方式有哪些? 什么是XSS方式? XSS攻击有几种类型?如何防范XSS攻击? 什么是CSRF攻击?如何防范CSRF攻击? 如何检测网站是否安全? XSS方式 XSS(Cross-Site-Scripting),跨站脚本攻击是一种代码注入攻击攻击者在目标网站上注入恶意代码,当被攻击者登录网站时就
Web安全CSRFXSS
daisy_li123的博客
02-07 4878
实验原理: CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作
5分钟科普CSRF攻击与防御,Web安全的第一防线
02-25
一、CSRF介绍二、CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常缩写为...
springboot后端实现防御xSRF攻击的策略代码.zip
02-10
本包中,含有2个实现springboot后端实现防御xSRF攻击的策略代码,具体使用,还需要看您的具体场景,进行区分使用!CSRFInterceptor.java、XSRFHandlerInterceptor.java
第一节 CSRF原理介绍-01
09-15
Web应用安全中,CSRF(Cross-site request forgery,跨站请求伪造)是一种常见的攻击方式。它通过伪装成受信任用户请求受信任的网站,执行某些非法操作。以下是CSRF漏洞的详细介绍。 CSRF漏洞定义 CSRF漏洞是一...
从零开始学CSRF
02-26
因为CSRF/XSRF我个人喜爱他的程度已经超过XSS了。如果说XSS是一个老虎,那么CSRF就是隐藏在暗处的蛇。相信现在很多人不明白CSRF是怎么运作,他和XSS的不同是在哪里。我这里就逐步为大家解释,并从浅入深的介绍CSRF。...
XSSXSRF
yellowfish222的博客
08-07 396
**XSS(跨站脚本攻击)**:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 **XSRF跨站请求攻击**:简单地说,是攻击者通过一些技术手段欺骗用户的...
XSS攻击CSRF攻击
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
web安全 - xsscsrf
javagty6778的博客
02-19 140
比较常见的一个场景是攻击者在社区或论坛上写下一篇包含恶意 JavaScript 代码的文章或评论,文章或评论发表后,所有访问该文章或评论的用户,都会在他们的浏览器中执行这段恶意的 JavaScript 代码。现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;
CSRF / XSRF(跨站请求伪造),XSS/CSS(跨站脚本攻击
m0_59070120的博客
09-20 635
你可以这么理解 CSRF 攻击攻击者盗用了你的身份,以你的名义进行恶意请求。它能做的事情有很多包括:以你的名义发送邮件、发信息、盗取账号、购买商品、虚拟货币转账等。* 4、危险网站中存在恶意代码,代码为发送一个恶意请求(举例:购买商品/余额转账)* 2、登录成功后在浏览器产生信息存储(举例:cookie)* 6、淘宝验证请求为合法请求(区分不出是否是该用户发送)* 3、用户在没有登出淘宝的情况下,访问危险网站。* 5、携带刚刚在浏览器产生的信息进行恶意请求。* 1、浏览并登录信任网站(举例:淘宝)
前端安全XSSXSRF攻击,及其解决方案
qq_38361229的博客
12-13 696
XSSCSRF攻击,及其解决方案
xsscsrf(详解)
qq_62046696的博客
06-30 4113
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
【前端知识】浅谈XSSCSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1532
【前端知识】浅谈XSSCSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式。常见的浏览器攻击主要包括跨站脚本攻击XSS)、跨站点请求伪造攻击CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击CSRF攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值