XSS与CSRF详解

最新推荐文章于 2024-07-27 09:11:21 发布
最新推荐文章于 2024-07-27 09:11:21 发布
阅读量2.8k 收藏 19
点赞数 3
分类专栏: web安全 文章标签: XSS和CSRf的区别 xss详解 CSRF的详解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41770175/article/details/93485292
版权
本文从开发者的角度深入讲解XSS和CSRF的区别与危害。XSS是跨站脚本攻击,通过注入JS代码劫持用户会话,而CSRF是跨站请求伪造,利用用户已登录状态发起恶意请求。两者主要区别在于是否需要用户登录及攻击方式。防御XSS和CSRF的方法包括:使用HTTP头指定内容类型、过滤用户输入、设置请求令牌等。
摘要由CSDN通过智能技术生成

XSSCSRF详解

随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。

黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。

如今,Web安全成为焦点,但网站的漏洞还是频频出现,在白帽子们进行网站测试时,恐怕对于SQL注入、XSS跨站、CSRF接触最多,但对于网站的开发者们来说,对这些熟知多少?本文从开发者的角度,对于XSSCSRF进行简要概述。

  1. XSSCSRF的不同

XSS是跨站脚本攻击

    跨站脚本攻击(Cross Site Scripting)黑客通过js代码劫持我跟服务器之间的会话

CSRF是跨站请求伪造

从一个网站A中发起一个到网站B的请求,而这个请求是经过了伪装的,伪装操作达到的目的就是让请求看起来像是从网站B中发起的,也就是说,让B网站所在的服务器端误以为该请求是从自己网站发起的,而不是从A网站发起的。当然,请求一般都是恶意的。

区别一:

CSRF:需要用户先登录网站A,获取 cookie。

XSS:不需要登录

区别二:(原理的区别)

CSRF:是利用网站A本身的漏洞,去请求网站A的api。

XSS:是向网站 A 注入 JS代码,然后执行 JS 里的代码,篡改网站A的内容。

区别三:

Xss是csrf实现攻击的一个手段

 

  1. XSS详解

XSS成因概括

    XSS其实就是Html的注入问题,攻击者的输入没有经过严格的控制进入了数据库,最终显示给来访的用户,导致可以在来访用户的浏览器里以浏览用户的身份执行Html代码,数据流程如下:攻击者的Html输入—>web程序—>进入数据库—>web程序—>用户浏览器。

检测方法:

//通常有一些方式可以测试网站是否有正确处理特殊字符:

><script>alert(document.cookie)</script>

='><script>alert(document.cookie)</script>

"><script>alert(document.cookie)</script>

<script>alert(document.cookie)</script>

<script>alert(vulnerable)</script>

%3Cscript%3Ealert('XSS')%3C/script%3E

<script>alert('XSS')</script>

<img src="javascript:alert('XSS')">

<img src="http://xxx.com/yyy.png" οnerrοr="alert('XSS')">

<div style="height:expression(alert('XSS'),1)" />(这个仅限 IE 有效)

攻击手段和目的:

    攻击者使被攻击者在浏览器中执行脚本后,如果需要收集来自被攻击者的数据(如cookie或其他敏感信息)

最低0.47元/天 解锁文章
PeiSylon
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSSCSRF攻击防御
zl的博客
08-17 1万+
一、概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF; 二、XSS 什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于...
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 1859
关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和d
XSSCSRF、SSRF漏洞原理以及防御方式_xss csrf ssrf
最新发布
weixin_57514792的博客
07-27 788
XSSCSRF、SSRF漏洞原理以及防御方式_xss csrf ssrf
XSS攻击与CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
XSSCSRF
sun_cainiao的博客
03-21 749
介绍两种最常见的针对 web 应用的攻击方式。 XSS (Cross-site scripting) 跨站脚本攻击 攻击者能够利用跨站脚本漏洞来绕过访问控制(access control),比如单源策略(same-origin policy)。 单源策略: 如果一个站点的内容有权限访问浏览器上的某些资源(比如 cookie),那么来自这个站点的所有内容都可以共享这些权限。 跨站点脚...
xsscsrf(详解)
qq_62046696的博客
06-30 4219
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
详解XSSCSRF简述及预防措施
10-17
在Web安全领域中,XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是最为常见的安全威胁之一。本文将详细解释这两种攻击方式,并提出相应的预防措施。 首先,让我们来详细了解XSS攻击。XSS,即Cross-Site Scripting的...
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2136
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击。攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击。
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1568
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击,CSRF攻击的原理、特点以及xssCSRF区别
跨站攻击(XSS+CSRF).docx
01-05
XSS攻击详解XSS(Cross Site Scripting)攻击是指攻击者通过在网页中插入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而达到窃取用户信息、操纵用户行为等目的。XSS攻击主要分为三种类型: 1. 反射型...
详解XSSCSRF
sanlyshi's front-end road
10-28 1756
https://www.cnblogs.com/zhouyyBlog/p/14505961.html
CSRFXSS
hcy48的博客
10-06 544
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 讲的CSRF不错,简单易懂http://www.cnblogs.com/easytools/archive/2012/06/01/2529350.html 讲CSRFXSS区别,简单一段文字XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通
这一次彻底搞懂CSRFXSS
Always-Learning
12-12 3081
CSRF攻击 一、什么是CSRF攻击? CSRF指的是跨站请求伪造,是一种挟制用户在当前已经登录的Web应用程序上执行非本意操作的攻击方法。CSRF利用的是:一旦用户通过网站服务的身份认证,网站就完全信任该用户,受害者持有的权限级别决定了CSRF攻击的影响范围。 二、CSRF攻击流程 主要步骤包含下列六个步骤: 用户浏览并登陆信任网站A。 网站A验证通过后,在用户处产生A的Cookie。 用户在没有退出网站A的情况下,访问了危险网站B。 危险网站B要求用户访问第三方站点A,并发出了一个请求。 用户
XSSCSRF
afterlake的博客
06-10 1180
XSSCSRF是黑客进行Web攻击的两个常用手段,主要目的是绕过浏览器同源策略,非法获取信息资源 XSS(Cross Site Scripting):跨站脚本 虽然名字里带“跨站”,但是可以略过,直接看“脚本”。XSS时发生在浏览器渲染HTML时执行了不被预期的脚本指令的一种安全漏洞。 XSS的主要类型: 反射型XSS:利用动态网页特性,将恶意代码的数据提交到服务器,服务器又返回到...
CSRFXSS
lizhi1030的博客
09-15 179
面试中的安全问题,明确来说,就两个方面:CSRF:基本概念、攻击方式、防御措施XSS:基本概念、攻击方式、防御措施这两个问题,一般不会问太难。有人问:SQL注入算吗?答案:这个其实跟前端的关系不是很大。
xss,csrf
张大晴的博客
10-13 950
文章转自: csrf介绍: https://www.cnblogs.com/shytong/p/5308667.html http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html https://www.cnblogs.com/cxying93/p/6035031.html xss介绍:https://www.cnblogs...
关于xsscsrf
可以叫我啪叽的石头
09-14 256
XSS xss 是跨网站指令码,是代码注入的一种,它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了 HTML 以及使用者端脚本语言。 攻击方式: XSS 通过修改 HTML 节点或者执行 JS 代码来攻击网站。比如通过 url 来在页面上添加 html 后者 js 文件。 防止: 最普遍的方法,是将输出的内容进行转义,比如对于引号,尖括号,斜杠进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值