XSS和CSRF

最新推荐文章于 2024-08-02 17:24:04 发布
最新推荐文章于 2024-08-02 17:24:04 发布
阅读量484 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43555156/article/details/119570463
版权

XSS

一、XSS

1.定义

XSS的英语全称是Cross-Site Scripting(跨站脚本攻击),因为和CSS同名,为了做出区别,改称为XSS。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

<input type="text" value="<%= getParameter("name") %>">
<div>
  <%= getParameter("name") %>
</div>

//当输入 "><script>alert('haha');</script> 会被执行脚本

2.分类

存储型

攻击代码被攻击者提交到服务器数据库中,当其他用户使用网站时,攻击代码被服务端从数据库取出来拼接到html返回给用户浏览器,被浏览器拼接执行。

反射型

用户打开攻击者的url,攻击代码被藏在了url中,服务端将url中的内容取出来拼接到html返回给用户浏览器,被浏览器响应执行。

DOM

用户打开攻击者的url,攻击代码被藏在了url中,被前端的JavaScript取出执行。

3.预防手段

输入过滤

在后端输入放进数据库的时候进行过滤转义(前端不过滤,因为可能被跳过前端直接发请求),但是这种方法对于明确输入类型的如数字、地址等可以,其他的话可能出现乱码问题,毕竟前端不同的地方可能编码类型不一致。

预防存储型和反射型 XSS 攻击
纯前端渲染

将html的数据和业务内容分开,浏览器使用静态的html,在通过调用JavaScript将数据从DOM加载上去,但性能要求较高且有拼接html的危险。

转义 HTML

对一些字符进行转义

预防 DOM 型 XSS 攻击

尽量避免将可疑的数据拼接到字符串中

二、CSRF

1.定义

2.分类

get
post
链接

3.预防手段

同源检测
Samesite属性
token
双重Cookie

总结

爱喝酸奶Ooo
关注
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2180
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击。攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击。
网络攻防之XSSCSRF
mplanning的博客
05-06 1098
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全与数据库
XSS攻击与CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
XSSCSRF、SSRF漏洞原理以及防御方式_xsscsrf、ssrf原理与防御
最新发布
2201_75735270的博客
08-02 1037
XSS(Cross Site Scripting):跨域脚本攻击。
这一次彻底搞懂CSRFXSS
Always-Learning
12-12 3089
CSRF攻击 一、什么是CSRF攻击? CSRF指的是跨站请求伪造,是一种挟制用户在当前已经登录的Web应用程序上执行非本意操作的攻击方法。CSRF利用的是:一旦用户通过网站服务的身份认证,网站就完全信任该用户,受害者持有的权限级别决定了CSRF攻击的影响范围。 二、CSRF攻击流程 主要步骤包含下列六个步骤: 用户浏览并登陆信任网站A。 网站A验证通过后,在用户处产生A的Cookie。 用户在没有退出网站A的情况下,访问了危险网站B。 危险网站B要求用户访问第三方站点A,并发出了一个请求。 用户
XSSCSRF
sun_cainiao的博客
03-21 764
介绍两种最常见的针对 web 应用的攻击方式。 XSS (Cross-site scripting) 跨站脚本攻击 攻击者能够利用跨站脚本漏洞来绕过访问控制(access control),比如单源策略(same-origin policy)。 单源策略: 如果一个站点的内容有权限访问浏览器上的某些资源(比如 cookie),那么来自这个站点的所有内容都可以共享这些权限。 跨站点脚...
XSSCSRF
afterlake的博客
06-10 1195
XSSCSRF是黑客进行Web攻击的两个常用手段,主要目的是绕过浏览器同源策略,非法获取信息资源 XSS(Cross Site Scripting):跨站脚本 虽然名字里带“跨站”,但是可以略过,直接看“脚本”。XSS发生在浏览器渲染HTML执行了不被预期的脚本指令的一种安全漏洞。 XSS的主要类型: 反射型XSS:利用动态网页特性,将恶意代码的数据提交到服务器,服务器又返回到...
router_xss_csrf:具有XSSCSRF的安全路由器
03-05
具有XSSCSRF的安全路由器 下载文件“ .htaccess”,并将其放置在应用程序的根目录下。 通常,这是一个名为“ htdocs”或“ www”的文件夹。 下载文件“ router.php”,并将其放置在应用程序的根目录下。 通常,...
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1596
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击,CSRF攻击的原理、特点以及xssCSRF的区别
xsscsrf(详解)
qq_62046696的博客
06-30 4335
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
详解XSSCSRF
sanlyshi's front-end road
10-28 1786
https://www.cnblogs.com/zhouyyBlog/p/14505961.html
web安全之XSSCSRF
曾佳徐的博客
02-09 8272
XSS XSS 简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中。 分为反射型和持久型 反射型 XSS代码出现在URL中,服务端解析响应后,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。 img标签 src为空 onerror 持久型 持久型也就是攻击的代码被服务端写入进数据库中,比如用户提交评论,将包含XSS代码的内容提交,然后服务端将内容保存数据库中。之后其...
XSSCSRF详解
Sylon的博客
06-24 2836
XSSCSRF详解 随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。 黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则...
CSRFXSS
lizhi1030的博客
09-15 195
面试中的安全问题,明确来说,就两个方面:CSRF:基本概念、攻击方式、防御措施XSS:基本概念、攻击方式、防御措施这两个问题,一般不会问太难。有人问:SQL注入算吗?答案:这个其实跟前端的关系不是很大。
XSSCSRF两种攻击方式总结
JunDao73的博客
02-16 5801
CSRFXSS
hcy48的博客
10-06 556
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 讲的CSRF不错,简单易懂http://www.cnblogs.com/easytools/archive/2012/06/01/2529350.html 讲CSRFXSS区别,简单一段文字XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通
xsscsrf的区别
07-20
XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们的目标和实现方式不同。 XSS攻击主要针对的是网页应用中存在的漏洞,攻击者通过注入恶意的脚本代码到网页中,使得用户在浏览网页执行该恶意代码,从而达到攻击的目的。XSS攻击可以分为存储型、反射型和DOM型三种形式。存储型XSS攻击是将恶意代码存储到服务器端,当用户访问包含恶意代码的页面,恶意代码会从服务器端获取并执行;反射型XSS攻击是将恶意代码作为URL参数或表单提交到服务器端,服务器端将恶意代码返回给浏览器并执行;DOM型XSS攻击则是通过修改网页的DOM结构来实现攻击。 CSRF攻击则是利用用户已经登录认证的状态下,诱使用户点击恶意链接或访问恶意网页,从而触发已登录用户的操作。攻击者通过伪造请求,使用户在不知情的情况下执行了非自愿的操作。例如,攻击者可以通过发送包含恶意请求的图片链接或者钓鱼网站来实施CSRF攻击。CSRF攻击的关键在于利用了用户的身份认证信息。 综上所述,XSSCSRF的主要区别在于攻击的目标和实现方式。XSS攻击主要针对网页应用中的漏洞,注入恶意脚本代码;而CSRF攻击则利用用户已登录认证的状态下,伪造请求进行非自愿的操作。为了防范这两种攻击,开发者需要在编写代码注意输入验证、输出编码以及限制权限等安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值