XSS和CSRF之介绍

最新推荐文章于 2024-08-02 17:24:04 发布
最新推荐文章于 2024-08-02 17:24:04 发布
阅读量811 收藏 2
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44105778/article/details/88106873
版权

一、什么是XSS

全称:Cross Site Script
中文名称:跨站脚本
危害:盗取用户信息、钓鱼、制造蠕虫等

概念:
在这里插入图片描述

二、xss的分类

1、存储型
访问网站时,触发XSS
我们可以通过查看网页源代码的方式查看xss的触发点。

我们安装irebug(F12快捷件打开),利用该火狐插件来寻找注入点。

分析其攻击过程

但是xss脚本是怎样被黑客写入数据库呢
在这里插入图片描述
2、反射型
访问携带xss脚本的连接时触发xss

查看源码,寻找触发点

如何产生的呢(右边为xss源码)
在这里插入图片描述
分析攻击过程
在这里插入图片描述

存储型xss和反射型xss的区别
存储型xss是从数据库中提取xss的脚本内容
反射型xss是直接从url的内容中提取出xss的脚本的内容

3、DOM型
那什么是DOM呢,就是Document Object Model,即文档对象模型,它允许脚本(js)控制web的页面、窗口和文档。简单说DOM就是就是js操作html时的API(应用程序接口)

访问携带xss脚本的连接时触发xss

查看源码,了解触发点

分析原理
在这里插入图片描述

DOM型xss与反射型xss很类似,但是他们有什么区别呢
DOM型xss是通过前端javascript将xss脚本写入DOM中,触发xss

反射型xss是通过后端或应用程序将xss脚本写入响应页面中,浏览器响应页面时才触发xss

存储型xss漏洞演示

在这里插入图片描述
xss代码应该为<img src="a" alert(/hhhh/)>
用管理员员登入后台,进入留言板会触发xss,出现弹窗内容为/xxxx/

反射型xss漏洞演示
我们写一个这样的脚本文件,命名为index.php

<?php 
header("content-type:text/html;charset=utf-8");
if(isset($_REQUEST["name"]))
{
     $name=$_REQUEST["name"];
}
else{
  $name = "";
}
echo "hhhhh ".$name;
?>

本地访问下
在这里插入图片描述
传入参数?name=<img src="a" alert(/hhhh/)>
alert()方法用于显示一条指定的消息和一个ok按钮的警告框
用qq浏览器尝试下,xss注入被浏览器拦截了,尴尬了
在这里插入图片描述

用火狐浏览器再次尝试,成功注入xss
在这里插入图片描述
查看源码即可发现注入位置
在这里插入图片描述
DOM型xss漏洞这边就不演示了

4、小结
在这里插入图片描述

三、CSRF是什么

全称:Cross-site request forgery

**中文名称是:**跨站请求伪造

危害:执行恶意操作(”被转账“、“被发垃圾评论”等)、制造蠕虫·······

**概念:**利用客户已经登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作

分析原理
在这里插入图片描述
那里面恶意的网站是怎么做的呢?

正常情况下:
通常Cookie中会存放用户凭证信息
浏览器在发送任何请求时都会带上已有的cookie
通过cookie识别用户身份后,执行转账操作。

黑客的操作:
伪造攻击代码,打开页面时自动完成转账
在这里插入图片描述

giunwr
关注
专栏目录
XSSCSRF攻击防御
zl的博客
08-17 1万+
一、概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF; 二、XSS 什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于...
网络攻防之XSSCSRF
mplanning的博客
05-06 1081
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全与数据库安
XSSCSRF
培训班的蜗牛
11-05 879
感谢《码农翻身》的文章让我深刻记住这两种攻击方式。 1、《浏览器家族的安全反击战》 2、 《黑客三兄弟》 3、  《黑客三兄弟续》  下面是我的整理内容: 目录 矛与盾教量: 矛:利用js获取其他网站的cookie  盾:JS 同源策略 {protocol, host, port} 矛:JS 注入 盾:cookie 添加 HttpOnly 属性 禁止js 读取 矛:JS 假造...
XSSCSRF、SSRF漏洞原理以及防御方式_xsscsrf、ssrf原理与防御
最新发布
2201_75735270的博客
08-02 986
XSS(Cross Site Scripting):跨域脚本攻击。
XSSCSRF详解与防御
weixin_34195546的博客
02-24 173
开年遇到的第一个问题就是解决XSS攻击&gt;_&lt;,可见要时刻保证网站的安全性至关重要。做好网站安全,不仅维护网站的稳定性,更保证用户数据的一致性。对此,总结一下笔者在工作中遇到的安全问题以及防御方法。 前端中常见的两种网站应用安全漏洞攻击的方式是 XSSCSRF,本文详细介绍两种攻击方式的概念、原理以及防御方式。 XSS X...
XSS攻击与CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
CSRFXSS区别
weixin_44475084的博客
03-23 1384
CSRF CSRF的基本概念、缩写、全称攻击原理防御措施如果把攻击原理和防御措施掌握好,基本没什么问题。 1、CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2、CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图...
xss,csrf
张大晴的博客
10-13 952
文章转自: csrf介绍: https://www.cnblogs.com/shytong/p/5308667.html http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html https://www.cnblogs.com/cxying93/p/6035031.html xss介绍:https://www.cnblogs...
router_xss_csrf:具有XSSCSRF的安全路由器
03-05
具有XSSCSRF的安全路由器 下载文件“ .htaccess”,并将其放置在应用程序的根目录下。 通常,这是一个名为“ htdocs”或“ www”的文件夹。 下载文件“ router.php”,并将其放置在应用程序的根目录下。 通常,...
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1583
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击,CSRF攻击的原理、特点以及xssCSRF的区别
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
在网络安全领域,XSS(Cross-Site Scripting)和CSRF(Cross-Site Request Forgery)是两种常见的攻击手段,而HTML注入则是它们的一种利用方式。这个“xss+csrf+html练习源码.rar”文件提供了针对这些漏洞的实战练习...
xsscsrf(详解)
qq_62046696的博客
06-30 4268
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
详解XSSCSRF
sanlyshi's front-end road
10-28 1759
https://www.cnblogs.com/zhouyyBlog/p/14505961.html
CSRFXSS
hcy48的博客
10-06 545
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 讲的CSRF不错,简单易懂http://www.cnblogs.com/easytools/archive/2012/06/01/2529350.html 讲CSRFXSS区别,简单一段文字XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通
注意安全!XSS 和 XSRF
weixin_33696822的博客
05-15 122
[Tips] 本文是从 jianshu 平台重新修改编辑后移植来的,比上一版本做了些修订。最近在看一些关于网络安全的问题,当然许多是跟前端相关的,包括且不局限于xss和xsrf 了,那么小编就结合最近的学习实践谈一些粗浅的认识。(\(^o^)/,我是一个喜欢做实验的家伙)XSS (Cross Site Script)跨站脚本攻击!XSS 意思就是跨站脚本攻击。这里面也涉及到跨域的问题,特别是在后面...
WEB安全 CSRF/XSS
jlin991的博客
02-28 980
XSS定义跨站脚本攻击,网站应用程序的安全漏洞攻击,代码注入的一种。把恶意代码注入到网页上,使得用户在观看网页的时候受到影响。 XSS 跨站脚本攻击 Cross site Scipting原因 主要原因是多数用户的输入没有被转义,而直接执行。 XSS可以获取到用户cookie或隐私客户端信息。比如通过location.hash假设某个网站有一段脚本:$('#box').html(location
CSRFXSS
qq_40826764的博客
03-14 267
前言 今天是CSRFXSS 正文 1.XSS XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。 XSS 是如何发生的呢 假如有下面一个textb...
xsscsrf的区别
07-20
XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们的目标和实现方式不同。 XSS攻击主要针对的是网页应用中存在的漏洞,攻击者通过注入恶意的脚本代码到网页中,使得用户在浏览网页时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值