网络攻防之XSS和CSRF

已于 2022-05-06 11:22:18 修改
阅读量1k 收藏 4
点赞数 1
文章标签: 网络 xss csrf web安全 安全架构
于 2022-05-06 10:38:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mplanning/article/details/124603956
版权

一、XSS攻击

1.1 XSS攻击简介

通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。

1.2 XSS攻击危害

据近些年OWASP(OWASP是世界上最知名的Web安全与数据库安全研究组织)统计XSS占所有web攻击的22%,高居所有web威胁榜首。

主要危害有:
(1)窃取管理员帐号或Cookie,入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息。
(2)窃取用户的个人信息或者登录帐号,对网站的用户安全产生巨大的威胁。例如冒充用户身份进行各种操作。
(3)网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时,用户的计算机会被植入木马。
(4)发送广告或者垃圾信息。攻击者可以利用XSS漏洞植入广告,或者发送垃圾信息,严重影响到用户的正常使用。

1.3 XSS攻击方式

XSS攻击主要分为两种:存储型XSS攻击和反射型XSS攻击。

1.3.1 存储型XSS

攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。
在这里插入图片描述
攻击流程如下:
(一)攻击者将恶意脚本提交给目标网站A(如通过网站留言、评论区直接提交),目标网站未经甄别就把内容存储到了数据库中。提交的内容为
(二)受害者向网站A发起访问,访问到黑客提交恶意脚本的页面。
(三)网站A响应200 OK,将cookie信息和标红部分恶意代码响应给受害者浏览器。
(四)浏览器根据恶意代码的指令向黑客网站发起请求,并携带上受害者浏览器与网站A交互的cookie信息,自此cookie落到攻击者手上。

接下来攻击者可以

最低0.47元/天 解锁文章
莫凭栏&1=1
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全的三个XSS-CSRF-CLICK攻防姿
11-01
Web安全的三个XSS-CSRF-CLICK攻防姿Web安全的三个XSS-CSRF-CLICK攻防姿
XSSCSRF 攻击详解
wangluoanquan111的博客
03-01 1105
Web 安全领域中,XSSCSRF 是最常见的攻击方式。===XSS,即 Cross Site Script,中译是跨站脚本攻击。其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。
XSSCSRF区别
weixin_42478365的博客
04-29 6135
1.CSRF CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的时候,请求网站A的api接口时,会提示你登录) (2)在不登出A的情况下,访问危险网站B(其实是利用了网站A的漏洞)。 我们在讲CSRF时,一定要
XSSCSRF 攻击——有什么区别,如何加以防护
最新发布
HoewDec的博客
04-03 1198
在站点上存储攻击会放大攻击的严重性和可能性,因为受害者用户现在肯定会查看CSRF加载的页面,并且也会自然地对该页面进行身份验证。CSRF 攻击利用 Web 应用程序中的一个安全漏洞,该漏洞无法区分经过身份验证的用户会话中的错误请求和合法请求。这种攻击迫使不知情的用户登录到黑客控制的帐户。在存储式跨站攻击中,注入的恶意代码被永久地存储在易受攻击的web应用程序的不同组件中,如数据库、评论字段、访客日志、消息论坛等。三、CSRF攻击的范围有限,仅限于用户可以执行的操作,例如点击恶意链接或访问黑客的网站。
黑客带你上手web安全攻防、三种漏洞【XSSCSRF和文件上传】彻底掌握常见web安全漏洞
jennycisp的博客
06-27 1201
XML是一种非常流行的标记语言,在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。外部实体对于在文档中创建动态引用非常有用,这样对引用资源所做的任何更改都会在文档中自动更新。但是,在处理外部实体时,可以针对应用程序启动许多攻击。这些攻击包括泄露本地系统文件,这些文件可能包含密码和私人用户数据等敏感数据,或利用各种方案的网络访问功能来操纵内部应用程序。
XSSCSRF区别与防范
初夏0811的博客
04-22 2632
XSS即Cross-Site-Scripting,跨站脚本攻击,为了不和前端开发者中的层叠样式表(CSS)的名字冲突,故简称XSSCSRF即Cross-Site Request Forgery,跨站请求伪造。 CSRF有别于XSS,从攻击效果上,两者有重合的地方。从技术原理上看两者有本质的不同,XSS是在正常用户请求HTML页面中执行黑客提供的恶意代码;CSRF是黑客直接盗用用户浏...
csrfXSS攻击分别是什么?
weixin_42436629的博客
01-09 486
3、CSRF是利用网站A本身的漏洞,去请求网站A的api;XSS是向网站A注入JS代码,然后执行JS里的代码,篡改网站A的内容。(XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。你可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。在不登出A的情况下,访问危险网站B。
XSSCSRF区别
热门推荐
Fighter1028
05-02 1万+
XSS原理: 根本我个人理解XSS又叫CSS(Cross-SiteScripting跨站脚本攻击)为了不和css层叠样式表混淆,所以改成了XSSXSS是将恶意的代码插入到html页面中,当用户浏览页面时,插入的html代码会被执行,从而达到最终目的。 XSS分为三种: 反射型:这种反射型一般存在链接中,请求链接时,代码经过
【前端知识】浅谈XSSCSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1513
【前端知识】浅谈XSSCSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式。常见的浏览器攻击主要包括跨站脚本攻击(XSS)、跨站点请求伪造攻击(CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击和CSRF攻击。
XSS攻击和CSRF攻击及其区别
meimeib的博客
07-16 1943
XSS攻击 XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。 跨站脚本攻击分有两种形式: 反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式) 持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面执行,QQ邮箱的早期版本就曾经被利用作为持久型跨站脚本攻击的平台)。 XSS虽然不是什么新鲜玩意,但
简述XSSCSRF的概念和区别
weixin_39327883的博客
04-25 1万+
XSS 全称Cross Site Scripting,名为跨站脚本攻击,黑客将恶意脚本代码植入到页面中从而实现盗取用户信息等操作。 常见的攻击情景: 1、用户A访问安全网站B,然后用户C发现B网站存在XSS漏洞,此时用户C向A发送了一封邮件,里面有包含恶意脚本的URL地址(此URL地址还是网站B的地址,只是路径上有恶意脚本),当用户点击访问时,因为网站B中cookie含有用户的...
Web安全第三次实验(CSRF,XSS,点击劫持).rar
12-26
抱歉,xss那里修改了下,原来打算直接弹窗的,但上过课以后发现,可以使用ajax的同步发送获取到responseText,再从responseText中剪切出token,这样不会弹窗,并且使用了同步请求,不需要alert特地暂停等待操作完成...
常见的网络安全攻击和防御方法解析
09-22
包括sql注入、DDos攻击、XSSCSRF等的攻击原理和防御方法。
网络空间安全的一些题目
12-13
本资源摘要信息涵盖了网络空间安全的一些题目,包括 SQL 注入、XSSCSRF、命令注入和文件包含等知识点。 一、SQL 注入 SQL 注入是一种常见的网络攻击手法,它是通过向 SQL 语句中注入恶意代码来获取或修改数据库...
突破企业网络新边界-身份认证协议攻防.pdf
07-02
突破企业网络新边界-身份认证协议攻防 身份认证协议攻防是企业网络新边界的重要组成部分。...为了保护企业网络安全,企业需要加强身份认证协议的安全性,防止攻击者通过身份认证协议攻防获取权限和数据。
浅谈Web前端安全策略xsscsrf,及又该如何预防?
moandaylab
05-28 1535
Web前端安全策略xsscsrf的攻击和防御一、XSS跨站请求攻击1、什么是XSS2、场景模拟3、XSS的攻击类型4、如何防御XSS二、XSRF跨站请求伪造1、什么是csrf2、场景模拟(1)场景一(2)场景二3、CSRF的特点4、CSRF攻击方式5、CSRF常见的攻击类型6、如何防御csrf三、CSRFXSS 区别四、结束语 随着前端技术的不断革新,前端早已不再是简简单单的做页面了。现在的前端网站上会涉及到大量用户的数据和隐私,那这些用户数据安全吗?答案并不是肯定的。因此,这个时候前端安全就显得尤为
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1518
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击,CSRF攻击的原理、特点以及xssCSRF区别
XSSCSRF区别详谈
2301_76694151的博客
04-08 587
首先我们要对xss和crsf进行足够的了解才能分清楚两者的区别
准备网络安全攻防比赛,需要学习什么内容?有什么推荐的大佬可以学习,或者相关博客和B站视频
06-12
4. Web安全:常见的Web攻击技术如XSSCSRF、文件上传漏洞等及其防御方法; 5. 移动安全:移动应用的安全漏洞、移动设备的安全配置和防御方法; 6. 网络安全设备:防火墙、入侵检测系统、网络流量分析等网络安全设备...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值