XSS 和 CSRF

最新推荐文章于 2024-08-31 00:26:53 发布
最新推荐文章于 2024-08-31 00:26:53 发布
阅读量883 收藏
点赞数
分类专栏: 网络攻击 文章标签: XSS CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33426311/article/details/83745538
版权

感谢《码农翻身》的文章让我深刻记住这两种攻击方式。

1、《浏览器家族的安全反击战

2、 《黑客三兄弟

3、  《黑客三兄弟续

 下面是我的整理内容:

目录

矛与盾教量:

矛:利用js获取其他网站的cookie 

盾:JS 同源策略 {protocol, host, port}

矛:JS 注入

盾:cookie 添加 HttpOnly 属性 禁止js 读取

矛:JS 假造登录框  获取账号密码(登录页面咋注入js呢?)

盾:过滤,转义

矛:跨站请求伪造CSRF

 盾: from 请求加入随机数(token)

矛与盾教量:

矛:利用js获取其他网站的cookie 

盾:JS 同源策略 {protocol, host, port}

      所谓的 同源 是指域名、协议、端口号 相同。不同的客户端脚本(javascript,ActionScript)在没有授权的情况下,不能读取对方资源。简单来说,浏览器允许包含在页面A的脚本访问第二个页面B的数据资源,这一切是建立在A和B页面是同源的基础上。

  •        html 嵌入式也是同源(<img>   <script>)
  •        一级域名相同(www.shanjun.wang与code.shanjun.wang 同源)

  不过cookie的domain一定要设置为那个一级域名才可以,例如:”

document.cookie = 'test=true;path=/;domain=store.com'

  •       AJAX 白名单  跨域请求  需要服务端配合

      

码农翻身 
// 指定允许其他域名访问
response.setHeader("Access-Control-Allow-Origin", "*");

矛:JS 注入

    例如: 在文本输入框中注入js (存储型XSS

码农翻身​​​​​

盾:cookie 添加 HttpOnly 属性 禁止js 读取

response.setHeader("Set-Cookie", "cookiename=value;

Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

矛:JS 假造登录框  获取账号密码(登录页面咋注入js呢?

盾:过滤,转义

  •      对输入内容过滤 将特定字符去掉 :给Servlet加Filter。
  •       对输出内容编码转义
码农翻身

矛:跨站请求伪造CSRF

   假网站伪造一个真网站的请求。在假网站做一个图片链接,不用用户点击自动请求转账链接

码农翻身

  盾: from 请求加入随机数(token)

        (现在Gmail支持多个tab同时持有多个SessionID) 后台对参数进行校验,实际操作看这个:SpringMVC如何防御CSRF

        HTTP Referer字段验证: 验证referer和当前网站(request.getScheme())+”://”+request.getServerName())是不是一个网站。

        有时间我会做一个模拟实验。有时间。。。。。。  

王烨潇
关注
专栏目录
xss+csrf的组合拳
wo41ge的博客
12-16 3305
今天 就把之前学的东西简单的总结一下吧 【第一拳】存储型 XSS + CSRF
网络攻防之XSSCSRF
mplanning的博客
05-06 1086
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全与数据库安
XSS攻击与CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
一文带你了解浏览器安全(XSSCSRF)
最新发布
weixin_46714216的博客
08-31 846
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。攻击者可以通过这种攻击方式可以进行以下操作:获取页面的数据,如DOM、cookie、localStorage;DOS攻击,发送合理请求,占用服务器资源,从而使用户无法访问服务器;破坏页面结构;
这一次彻底搞懂CSRFXSS
Always-Learning
12-12 3086
CSRF攻击 一、什么是CSRF攻击? CSRF指的是跨站请求伪造,是一种挟制用户在当前已经登录的Web应用程序上执行非本意操作的攻击方法。CSRF利用的是:一旦用户通过网站服务的身份认证,网站就完全信任该用户,受害者持有的权限级别决定了CSRF攻击的影响范围。 二、CSRF攻击流程 主要步骤包含下列六个步骤: 用户浏览并登陆信任网站A。 网站A验证通过后,在用户处产生A的Cookie。 用户在没有退出网站A的情况下,访问了危险网站B。 危险网站B要求用户访问第三方站点A,并发出了一个请求。 用户
XSS+CSRF组合拳
weixin_50464560的博客
03-12 2489
0x00 前言 今天学习一下 XSS + CSRF 组合拳,现将笔记记录如下。 0x01 靶场环境 本机(Win):192.168.38.1 DVWA(Win):192.168.38.132 Beef(Kali):192.168.38.129 0x02 组合拳思路 第一拳:存储型 XSS + CSRF(存储型 XSS 攻击代码中加入 CSRF 代码链接) 第二拳:CSRF + SelfXSSCSRF 代码中加入 SelfXSS 代码) 0x03...
XSSCSRF
afterlake的博客
06-10 1186
XSSCSRF是黑客进行Web攻击的两个常用手段,主要目的是绕过浏览器同源策略,非法获取信息资源 XSS(Cross Site Scripting):跨站脚本 虽然名字里带“跨站”,但是可以略过,直接看“脚本”。XSS时发生在浏览器渲染HTML时执行了不被预期的脚本指令的一种安全漏洞。 XSS的主要类型: 反射型XSS:利用动态网页特性,将恶意代码的数据提交到服务器,服务器又返回到...
router_xss_csrf:具有XSSCSRF的安全路由器
03-05
具有XSSCSRF的安全路由器 下载文件“ .htaccess”,并将其放置在应用程序的根目录下。 通常,这是一个名为“ htdocs”或“ www”的文件夹。 下载文件“ router.php”,并将其放置在应用程序的根目录下。 通常,...
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2167
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击。攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击。
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1584
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击,CSRF攻击的原理、特点以及xssCSRF的区别
用大白话谈谈XSSCSRF
weixin_34129696的博客
10-01 168
这两个关键词也是老生常谈了,但是还总是容易让人忘记与搞混~。XSSCSRF这两个关键词时常被拉出来一起比较(尤其是面试),我在这里也在写一篇扫盲文,也帮自己整理一下知识脉络。 这篇文章会用尽量“人话”的语言解释这二个关键词,让同学们对跨域,安全有更深一层次的了解。 国际惯例,先上一下维基百科: XSS:跨站脚本(Cross-site s...
学习 xss+csrf 组合拳
weixin_67259816的博客
05-28 3357
该篇文章记录了xss+csrf的组合拳,无论是存储型xss还是反射型xsscsrf结合在一块,都会有一个更强大的收获。
xsscsrf(详解)
qq_62046696的博客
06-30 4292
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
简析XSSCSRF 两种跨站攻击
江湖
09-21 5055
XSS:跨站脚本攻击,注入攻击的一种。攻击者利用应用程序的动态展示功能,在HTML页面中嵌入恶意代码。当用户浏览该页时,这些嵌入在html的恶意代码就会被执行,用户浏览器被攻击者控制。。。。 1.盗取用户cookie,伪造用户身份 2.控制用户浏览器 3.结合浏览器及其插件漏洞,下载病毒木马到浏览者的计算机运行 4.衍生URL跳转漏洞 5.官网挂钓鱼网站 6.蠕虫攻击
xss,csrf
张大晴的博客
10-13 957
文章转自: csrf介绍: https://www.cnblogs.com/shytong/p/5308667.html http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html https://www.cnblogs.com/cxying93/p/6035031.html xss介绍:https://www.cnblogs...
CSRFXSS
hcy48的博客
10-06 548
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 讲的CSRF不错,简单易懂http://www.cnblogs.com/easytools/archive/2012/06/01/2529350.html 讲CSRFXSS区别,简单一段文字XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通
xsscsrf的区别
07-20
XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们的目标和实现方式不同。 XSS攻击主要针对的是网页应用中存在的漏洞,攻击者通过注入恶意的脚本代码到网页中,使得用户在浏览网页时执行该恶意代码,从而达到攻击的目的。XSS攻击可以分为存储型、反射型和DOM型三种形式。存储型XSS攻击是将恶意代码存储到服务器端,当用户访问包含恶意代码的页面时,恶意代码会从服务器端获取并执行;反射型XSS攻击是将恶意代码作为URL参数或表单提交到服务器端,服务器端将恶意代码返回给浏览器并执行;DOM型XSS攻击则是通过修改网页的DOM结构来实现攻击。 CSRF攻击则是利用用户已经登录认证的状态下,诱使用户点击恶意链接或访问恶意网页,从而触发已登录用户的操作。攻击者通过伪造请求,使用户在不知情的情况下执行了非自愿的操作。例如,攻击者可以通过发送包含恶意请求的图片链接或者钓鱼网站来实施CSRF攻击。CSRF攻击的关键在于利用了用户的身份认证信息。 综上所述,XSSCSRF的主要区别在于攻击的目标和实现方式。XSS攻击主要针对网页应用中的漏洞,注入恶意脚本代码;而CSRF攻击则利用用户已登录认证的状态下,伪造请求进行非自愿的操作。为了防范这两种攻击,开发者需要在编写代码时注意输入验证、输出编码以及限制权限等安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值