Web安全攻防之CSRF攻击与XSS攻击区别

最新推荐文章于 2024-09-03 14:55:05 发布
最新推荐文章于 2024-09-03 14:55:05 发布
阅读量452 收藏
点赞数
分类专栏: 网络空间安全 文章标签: xss 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43085611/article/details/113248355
版权

反射型XSS和CSRF的相同点:

  • 都需要用户点击链接,访问恶意构造的链接。

反射型XSS和CSRF的不同点:

  • XSS偏向于代码执行。代码可以被黑客构造,能够实现复杂的功能,更加的危险。
  • CSRF则偏向于结果。通常情况是利用系统自带的功能来实现黑客想要达到的结果,比如刷访问量、发布文章。

XSS也能实现CSRF的功能,不过能GetShell,你会只用来刷访问量?(逃🤡

防御方式:

  • 验证Refer
  • 验证token
    • CSRF tokens是防护CSRF的关键
    • CSRF tokens现在通常是一个秘钥或者salt的hash

参考教程:

  1. 用大白话谈谈XSS与CSRF:https://segmentfault.com/a/1190000007059639
chiehw
关注
专栏目录
CSRFXSS有什么区别
m0_56578216的博客
09-10 661
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应用程序。
Java Web 应用的安全攻防CSRF 漏洞分析
AI天才研究院
10-09 811
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one-click attack”或者Session riding,其利用网站对用户浏览器的信任,通过伪装成用户正常操作的动作,达到恶意盗取用户信息、执行违规操作等目的,是一种常用的Web应用安全漏洞CSRF在很多Web应用中都存在着严重的隐患,攻击者可以盗用用户的登录信息、Cookie等,进而冒充用户进行各种恶意操作。因此,保护用户的个人信息安全、系统安全应首要考虑。
XSS攻击CSRF攻击及其区别
meimeib的博客
07-16 1977
XSS攻击 XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。 跨站脚本攻击分有两种形式: 反射攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式) 持久攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面执行,QQ邮箱的早期版本就曾经被利用作为持久跨站脚本攻击的平台)。 XSS虽然不是什么新鲜玩意,但
第六次作业
最新发布
m0_64429977的博客
09-03 982
用户在受信任的网站(如银行、社交媒体等)上进行登录,服务器为用户创建会话并存储身份验证信息(如Cookie)。攻击者创建一个恶意网站或页面,其中包含指向受信任网站的请求(如表单提交、链接等),这些请求会在用户不知情的情况下执行。攻击者通过社交工程手段(如发送钓鱼邮件、社交媒体链接等)诱使用户访问其恶意网站。当用户在恶意网站上执行某个操作(如点击链接、提交表单等)时,浏览器会自动附带用户的身份验证信息(如Cookie),向受信任网站发送请求。
CSRFXSS区别
weixin_44475084的博客
03-23 1392
CSRF CSRF的基本概念、缩写、全称攻击原理防御措施如果把攻击原理和防御措施掌握好,基本没什么问题。 1、CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2、CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图...
XSSCSRF 攻击——有什么区别,如何加以防护
HoewDec的博客
04-03 1648
在站点上存储攻击会放大攻击的严重性和可能性,因为受害者用户现在肯定会查看CSRF加载的页面,并且也会自然地对该页面进行身份验证。CSRF 攻击利用 Web 应用程序中的一个安全漏洞,该漏洞无法区分经过身份验证的用户会话中的错误请求和合法请求。这种攻击迫使不知情的用户登录到黑客控制的帐户。在存储式跨站攻击中,注入的恶意代码被永久地存储在易受攻击web应用程序的不同组件中,如数据库、评论字段、访客日志、消息论坛等。三、CSRF攻击的范围有限,仅限于用户可以执行的操作,例如点击恶意链接或访问黑客的网站。
XSSCSRF区别
weixin_42478365的博客
04-29 6250
1.CSRF CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的时候,请求网站A的api接口时,会提示你登录) (2)在不登出A的情况下,访问危险网站B(其实是利用了网站A的漏洞)。 我们在讲CSRF时,一定要
详解Web安全攻防战(DoS攻击CSRFXSS、SQL注入)
五撸超人的博客
03-31 3252
       之前学校做的项目都没有像样地考虑过安全方面的问题。今天复习面试的时候看到Web安全部分,学习并总结一下。(PS: Web安全几乎是大厂面试必问的问题,想进大厂的同学注意啦。) 前言        用户信息泄露、网站被黑甚至网银被盗用的事件屡见不...
网络攻防XSSCSRF
mplanning的博客
05-06 1086
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全与数据库安
Web安全攻防:防范XSSCSRF及其他常见攻击
Web安全攻防涉及到多个方面,包括但不限于网络安全、信息安全、系统安全、应用安全等,其最终目的是保护Web应用程序及其用户的隐私和数据安全。 ## 1.2 为什么Web安全攻防非常重要 Web安全攻防的重要性主要体现在...
Web安全的三个XSS-CSRF-CLICK攻防姿
11-01
本篇讨论的Web安全的三个攻防姿态主要聚焦于XSS(跨站脚本攻击)、CSRF(跨站请求伪造)、以及clickjacking(点击劫持/UI-覆盖攻击)。 XSS攻击是一种常见的Web安全威胁,恶意攻击者通过将恶意脚本代码嵌入到Web...
Spring MVC防御CSRFXSS
sauzny的博客
10-18 281
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事...
前端系统复习之安全
李天下
09-04 260
CSRF CSRF的基本概念、缩写、全称 攻击原理 防御措施 如果把攻击原理和防御措施掌握好,基本没什么问题。 1、CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2、CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发co...
XSS攻击CSRF攻击
charlene0824的博客
04-12 1635
XSS攻击CSRF攻击 XSS攻击 XSS(Cross SiteScript)跨站脚本攻击,是Web程序中常见的漏洞XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。XSS攻击类似于S
XSS攻击CSRF攻击
Geolias的博客
07-14 612
CSRF攻击 CSRF攻击介绍 CSRF(Cross-site request forgery):跨站请求伪造。 简易理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 原理 1. 用户C打开浏览器,访问受信任网站A,输入用
CSRFXSS
hcy48的博客
10-06 547
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 讲的CSRF不错,简单易懂http://www.cnblogs.com/easytools/archive/2012/06/01/2529350.html 讲CSRFXSS区别,简单一段文字XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2166
Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击
XSSCSRF
sun_cainiao的博客
03-21 757
介绍两种最常见的针对 web 应用的攻击方式。 XSS (Cross-site scripting) 跨站脚本攻击 攻击者能够利用跨站脚本漏洞来绕过访问控制(access control),比如单源策略(same-origin policy)。 单源策略: 如果一个站点的内容有权限访问浏览器上的某些资源(比如 cookie),那么来自这个站点的所有内容都可以共享这些权限。 跨站点脚...
Web前端安全攻防实战:XSSCSRF与界面劫持
Web前端黑客攻防主要关注的是Web应用程序中的安全问题,特别是针对前端层面的攻击。这些攻击主要包括跨站脚本(XSS)、跨站请求伪造(CSRF)以及界面操作劫持。这些威胁是由于前端代码设计不周或安全防护不足导致的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值