常见web攻击手段及防御措施

最新推荐文章于 2024-03-13 10:30:00 发布
VIP文章 最新推荐文章于 2024-03-13 10:30:00 发布
阅读量1.2k 收藏 4
点赞数 2
分类专栏: HTTP 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36737839/article/details/111953411
版权

CSRF 攻击:跨站请求伪造

跨站请求伪造 CSRF (Cross-site request forgery),是一种挟制用户在当前已登录的 Web 应用程序上执行非本意操作的攻击方法。

​ 它利用用户已经登录的身份信息,在用户无感的情况下,以用户的名义完成操作。

攻击流程

​ 一次 CSRF 攻击发生的过程可能是这样:
CSRF-攻击流程图示

​ 我们来简述一下图示流程:

​ A. 用户 A 登录购物网站 http://www.example.shop,并获取到 cookie。

​ B. 攻击者事先知道该购物网站完成一次购物操作的URL,因此事先将脚本注入页面,例如:
<img src="http://www.example.shop/buy?productId=00010&count=10&address=example">

​ C. 在用户 A 没有登出购物网站(即cookie未失效)的情况下,访问了攻击者网站。此时攻击者网站会返回具有恶意脚本的页面,伪造用户发送请求到服务器。

​ 由此可知,攻击关键就是欺骗用户浏览器,让其以用户的名义发出请求,进行操作。

攻击演练

下面我会通过开启两个服务, http://localhost:3000/模拟购物网站,http://localhost:4000/模拟黑客网站

A. 模拟用户登录购物网站,获取 cookie 信息
CSRF-模拟用户登录

B. 模拟用户访问黑客网站,黑客网站中事先注入了攻击脚本:
CSRF-黑客网站

​ 刷新购物网站,发现被攻击了:
CSRF-被攻击现象查看

危害

利用用户登录态,用户不知情情况下进行操作:

  • 可盗取用户资金,进行转账消费等操作
  • 可冒充用户发帖、进行恶意言论等

防御措施

  • 设置 Referer 字段

    Referer 请求头标识当前请求是从哪个页面发送过来的,服务端可根据该地址判断出是否是恶意请求。

    局限性:完全依赖于浏览器发送正确的 Referer 字段,我们无法保证浏览器内部对 Referer 的实现。

最低0.47元/天 解锁文章
无骛
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Web安全深度剖析(张柄帅)
07-25
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web应用程序中存在的漏洞,防患于未然。 《Web安全深度剖析...
XSS和CSRF的实现原理和防范方法
刘炳全的博客
09-22 954
xss脚本注入 不需要你做任何的登录,它会通过合法的操作(比如:在URL中输入、在评论框中输入),向你的页面注入脚本(可能是就是、HTML代码块等)。 防御: 编码:对用户输入的数据进行HTML Entity编码,把字符串换成转义字符。Encode的作用是将$var等一些字符进行转化,使得浏览器在最终输出结果上是一样的。 过滤:移除用户输入的和事件相关的水性。 CSRF跨域请求伪造 在未退出A网站的情况下访问B,B使用A的cookie去访问服务器。 防御: token,每次用户提交表.
浅谈Web前端安全策略xss和csrf,及又该如何预防?
WLsweety的博客
02-09 158
跨站脚本攻击,缩写为XSS(Cross Site Scripting),是利用网页的漏洞,通过某种方式给网页注入恶意代码,使用户加载网页时执行注入的恶意代码。跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行**非本意的操作**的攻击方法。如:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。
万字讲解9种Web应用攻击与防护安全。XSS、CSRF、SQL注入等是如何实现的
最新发布
qq_44005305的博客
03-13 1602
XSS :Cross Site Scripting,为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中 Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。但是发展到今天,由于JavaScript的强大功能基于网站前端应用的复杂化,是否跨域已经不再重要。
什么是XSS、CSRF、CSP?如何防止攻击
tyxjolin的专栏
03-31 1249
前端安全Web应用程序中一个重要的环节,它可以防止各种安全攻击的发生,保护Web应用程序的安全性和可靠性。在开发Web应用程序时,应该采用一系列的防范措施来保护前端的安全。这些防范措施包括防止XSS攻击、防止CSRF攻击、使用CSP等。同时,Web应用程序也应该定期更新和升级,进行安全审计和渗透测试,发现并修复可能存在的安全问题。在实践中,要注意防止过度防御和盲目相信输入数据的情况。过度防御可能会导致Web应用程序的性能下降,同时也可能会引入新的安全漏洞。
前端面试:【XSS、CSRF、CSP】Web安全的三大挑战
weixin_42132860的博客
08-23 563
嗨,亲爱的Web开发者!本文将深入探讨三个常见Web安全威胁:XSS(跨站脚本攻击)、CSRF(跨站请求伪造攻击)和CSP(内容安全策略),以帮助你了解并应对这些威胁。XSS是一种攻击方式,攻击者注入恶意脚本代码到Web应用中,然后让用户的浏览器执行这些脚本。它通过限制可执行的脚本来源、样式来源和其他资源,可以减少XSS攻击的风险。亲爱的Web开发者,现在你已经了解了XSS、CSRF和CSP,以及如何防御这些威胁。了解这些威胁,并采取适当的安全措施,可以帮助你保护用户的数据和应用安全性。
CSP-XSS 风险问题解决
weixin_40795574的博客
03-26 1514
问题 在 chrome 中使用 lighthouse 跑分的时候发现有比较高风险的漏洞,从 lightHouse 建议 入手研究了一番 前言 定义:CSP( Content-Security-Policy )从字面意思来讲是“内容 - 安全 - 政策”。 解释:通俗的讲就是该网页内容的一个安全策略,可以自定义资源的加载规则和资源所在地址源的白名单,用来限制资源是否被允许加载,即当受到 XSS 攻击时,攻击的资源文件所在的地址源不满足 CSP 配置的规则,即攻击资源会加载失败,以此达到防止 XSS 攻击
XXX教育厅网络安全建设方案.doc
06-07
OA平台基于WEB应用的业务模式不断成熟,应用安全 问题也正在凸显,WEB应用安全管理和防范措施薄弱,极易遭到黑客攻击。近几年关于网 络钓鱼、SQL注入和跨站脚本等带来严重后果的攻击事件频频发生,严重影响了人们对W...
网络安全简答题.doc
06-09
11、简述DDoS的特点及常用攻击手段。 答:攻击计算机控制着多台主机,对目标主机实施攻击,大量瞬时网络流量阻塞网络,使 得目标主机瘫痪。 12、留后门的原则就是什么? 答:原则就就是让管理员瞧不到有任何特别的地方。...
网络安全培训.pptx.pptx
06-09
主动恶意代码趋势 制造方法:简单并工具化 技术特征:智能性、攻击性和多态性,采用加密、变换、插入等技术手段巧妙地伪装自身,躲避甚至攻击防御检测软件. 表现形式:多种多样,没有了固定的端口,没有了更多的连接,...
大型分布式网站架构与实践
08-24
 常见Web攻击手段防御方法,如XSS、CRSF、SQL注入等。  常见的一些安全算法,如数字摘要、对称加密、非对称加密、数字签名、数字证书等。  如何采用摘要认证方式防止信息篡改、通过数字签名验证通信双方的...
csrf攻击防御,xss攻击防御
ITxiaojunjun的博客
11-07 228
csrf攻击防御,xss攻击防御
Web安全:XSS、CSRF以及如何防范
KaiSarH
05-26 2018
Web安全:XSS、CSRF以及如何防范
一篇文章把所有前端安全相关的攻击防御都给解决了——XSS攻击和CSRF攻击
qq_41040989的博客
03-31 776
CSRF(Cross-site request forgery,跨站请求伪造也被称为One Click Attack 或者 Session Riding ,通常缩写为 CSRF或者XSRF,是一种欺骗受害者提交恶意请求的攻击。它继承了受害者的身份和特权,代表受害者执行非本意、恶意的操作。它强制终端用户在当前对其进行身份验证后的Web应用程序上执行非本意的操作。尽管CSRF听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。
XSS、CSRF攻击以及预防手段
南栀的博客
03-12 4828
文章目录XSS反射型持久型DOM型XSS如何防御?CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
xss之CSP
oubasangdadada的博客
03-11 327
CSP CSP的防护 CSP 的核心就是利用同源策略来实现对资源加载的控制,CSP 的一些资源控制: script-src 控制脚本资源 object-src 控制embed, code, archive applet等对像 style-src 控制样式表@import和rel引入的资源 img-src 控制图片资源,包括img的src, CSS3中的url()和image()方法,li...
常见Web网站攻击手段
何哥的博客
11-21 2707
网络安全不容忽视,整理常见Web网站攻击手段如下: XSS攻击 CSRF攻击 SQL注入攻击 文件上传漏洞 DDoS攻击 其他攻击手段 一、XSS攻击 XSS(Cross Site Scripting)跨站脚本攻击,为了不与层叠样式表(CSS)混淆,故将跨站脚本攻击缩写为XSS。原理即在网页中嵌入恶意脚本,当用户打开网页时,恶意脚本便开始在用户浏览器上执行,以盗取客户端cookie、用户名、密码,甚至下载木马程式,危害可想而知。 场景1:以一个表单输入举例说明 <input
XSS和CSRF——Web安全领域常见的两种攻击方式
Concise200的博客
03-28 6120
Web安全领域,XSS和CSRF是最常见攻击方式。
XSS+CSRF组合拳
weixin_50464560的博客
03-12 2232
0x00 前言 今天学习一下 XSS + CSRF 组合拳,现将笔记记录如下。 0x01 靶场环境 本机(Win):192.168.38.1 DVWA(Win):192.168.38.132 Beef(Kali):192.168.38.129 0x02 组合拳思路 第一拳:存储型 XSS + CSRF(存储型 XSS 攻击代码中加入 CSRF 代码链接) 第二拳:CSRF + SelfXSS(CSRF 代码中加入 SelfXSS 代码) 0x03...
网络攻击类型常见的类型分类
06-01
网络攻击可以分为多种类型,常见的分类如下: 1. DoS/DDoS攻击:通过向目标系统发送大量请求,使其无法正常工作。 2. 恶意软件攻击:通过...对于这些攻击,我们需要采取相应的防御措施来保护我们的系统和数据的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值