XSS与CSRF(XSRF)对比思考

最新推荐文章于 2024-07-27 09:11:21 发布
最新推荐文章于 2024-07-27 09:11:21 发布
阅读量3.2k 收藏 5
点赞数
分类专栏: 软件测试-安全渗透 文章标签: XSS attack XSRF CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/otianye/article/details/48028613
版权
本文对比分析了XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的原理和应用场景。XSS利用HTML注入欺骗用户执行恶意代码,而CSRF则通过WEB隐式身份验证机制,在用户未审核的情况下发起攻击。XSS通常在用户在同一网站操作时发生,而CSRF发生在用户登录网站A后访问不安全的网站B时。XSS攻击中,攻击者获取用户身份后继续操作,而CSRF中,攻击者直接促使浏览器发起攻击。
摘要由CSDN通过智能技术生成

(学习笔记,个人总结,不足之处请多多指导。)


XSS(Cross Site Scripting)跨站脚本攻击

CSRF/XSRF(Cross-site request forgery):跨站请求伪造


最低0.47元/天 解锁文章
jntcf
关注
专栏目录
网络攻防之XSSCSRF
mplanning的博客
05-06 1081
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全与数据库安
XSSCSRF 攻击——有什么区别,如何加以防护
HoewDec的博客
04-03 1630
在站点上存储攻击会放大攻击的严重性和可能性,因为受害者用户现在肯定会查看CSRF加载的页面,并且也会自然地对该页面进行身份验证。CSRF 攻击利用 Web 应用程序中的一个安全漏洞,该漏洞无法区分经过身份验证的用户会话中的错误请求和合法请求。这种攻击迫使不知情的用户登录到黑客控制的帐户。在存储式跨站攻击中,注入的恶意代码被永久地存储在易受攻击的web应用程序的不同组件中,如数据库、评论字段、访客日志、消息论坛等。三、CSRF攻击的范围有限,仅限于用户可以执行的操作,例如点击恶意链接或访问黑客的网站。
XSSCSRF、SSRF漏洞原理以及防御方式_xss csrf ssrf
最新发布
weixin_57514792的博客
07-27 819
XSSCSRF、SSRF漏洞原理以及防御方式_xss csrf ssrf
XSS攻击CSRF攻击及其区别
meimeib的博客
07-16 1971
XSS攻击 XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。 跨站脚本攻击分有两种形式: 反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式) 持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面执行,QQ邮箱的早期版本就曾经被利用作为持久型跨站脚本攻击的平台)。 XSS虽然不是什么新鲜玩意,但
浅谈csrf/xsrf
afunyusong的专栏
04-11 516
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
xss,csrf,xsrf
lin_fightin的博客
03-03 462
Xss跨站脚本攻击(Cross Site Scripting) 原理: HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。 当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签引入了一段JavaScript脚本时,这些脚本程序就将会在用户浏览器中执行 所以,当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生XSS漏洞。 案例
CSRF/XSRF概述
weixin_38597669的博客
06-03 4285
本文主要叙述了CSRF产生的原因,危害和预防方法!!
XSSCSRF攻击以及预防手段
南栀的博客
03-12 4895
文章目录XSS反射型持久型DOM型XSS如何防御?CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
前端安全之xssxsrf
qq_41801117的博客
03-27 4426
提到前端安全,往往离不开xss(跨站脚本攻击)、xsrf(跨站伪造请求),在此记录一下关于前端安全的学习过程。 什么是xss? 跨站脚本攻击(Cross Site Scripting),为了不和css(层叠样式表)混淆,故记为xss。其原理是利用用户对某个指定网站的信任,被恶意用户进行了web攻击(通常这种攻击会利用js实现)。 简单攻击场景 某用户A逛网站时发现某可以分享文章的论坛,非常感兴趣,写下以下文章 用户A:你好,我是用户A,<script>alert(3)</script&gt
Web开发中的 XSSCSRF/XSRF、CORS
weixin_45678031的博客
06-09 597
XSS 跨站脚本攻击 向正常网站的表单中注入恶意脚本代码,窃取网站私有内容,比如窃取cookies、localstorage、sessionstorage的内容。 防御策略 设置cookies为HttpOnly 使cookie不可被js读取操作。 CSRF/XSRF 跨站请求伪造 诱导用户在恶意网站内点击链接,链接请求正常网站的功能业务,会自动携带正常网站的cookies,在用户不知情的情况下完成一些操作。 防御策略 健强服务端逻辑,严格restful风格,可以防御一些低端的攻击。 利用请求头中的refe
web安全之CSRFXSRF)浅析
LQ55
10-11 2049
CSRF(XSRF)是什么? CSRF (cross-site request forgery),中文的名称:跨站请求伪造,也被称为:one click attack/ session riding,缩写为:CSRF/XSRFCSRF(XSRF)可以做什么? CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括,以你的名义发送邮件,发消息,盗取你的账号,甚
前端安全漏洞 XSSCSRF 异同
杏子
05-23 2526
前端安全漏洞 XSSCSRF 异同一、前言二、相同点三、区别 一、前言 前面有写过 前端安全漏洞之 XSS 与 前端安全漏洞之 CSRF 的文章,本着程序员开发宗旨低内聚的原则,这里另出一遍文章讲讲两者之间的相同点和区别。 二、相同点 既然是前端安全漏洞,肯定就是前端脚本的攻击,主要都是通过 a 标签和 iframe 标签的 href 属性,img 标签的 src 属性等途径进行攻击。 两...
简述XSSCSRF的概念和区别
繁星流动天际
03-17 274
XSS 全称Cross Site Scripting,名为跨站脚本攻击,黑客将恶意脚本代码植入到页面中从而实现盗取用户信息等操作。 常见的攻击情景: 1、用户A访问安全网站B,然后用户C发现B网站存在XSS漏洞,此时用户C向A发送了一封邮件,里面有包含恶意脚本的URL地址(此URL地址还是网站B的地址,只是路径上有恶意脚本),当用户点击访问时,因为网站B中cookie含有用户的敏感信息,此时用户C...
csrfxss攻击的详解与区别
热门推荐
wuhuagu_wuhuaguo的博客
02-02 1万+
一、csrf攻击 1.CSRF的基本概念、缩写、全称:CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件:(1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的...
渗透测试-一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御
lza20001103的博客
08-25 2721
一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御 文章目录一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御一、相同点与不同点相同点不同点XXE漏洞二、防御1、XSS2、CSRF3、SSRF4、XXE三、面试题 一、相同点与不同点 相同点 XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点 XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的
XSS 攻击CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?
guoqkmiss的博客
05-12 1972
XSS 攻击CSRF 攻击 1、XSS 攻击 1. 概念 XSS(Cross Site Scripting):跨域脚本攻击。 2. 原理 不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js、hmtl 代码块等)。 3. 防范 编码;对于用户输入进行编码。 过滤;移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点) 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。 HttpOnly。
XSSCSRF区别与防范
初夏0811的博客
04-22 1万+
XSS即Cross-Site-Scripting,跨站脚本攻击,为了不和前端开发者中的层叠样式表(CSS)的名字冲突,故简称XSSCSRF即Cross-Site Request Forgery,跨站请求伪造。 CSRF有别于XSS,从攻击效果上,两者有重合的地方。从技术原理上看两者有本质的不同,XSS是在正常用户请求HTML页面中执行黑客提供的恶意代码;CSRF是黑客直接盗用用户浏...
理解XSSCSRF攻击原理与防御策略
与反射型不同,存储型XSS攻击是将恶意脚本存储在服务器端,比如在一个论坛的帖子中。当其他用户访问这个页面时,恶意脚本同样会被执行。这类攻击更具危害性,因为它可以影响大量用户,而且持续时间更长。 1.3 基于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值