对XSS和CSRF的基本理解

最新推荐文章于 2022-02-16 11:37:37 发布
最新推荐文章于 2022-02-16 11:37:37 发布
阅读量246 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45089570/article/details/96440792
版权

XSS( 跨站脚本攻击)

1.反射性xss:
在这里插入图片描述
它的攻击过程为当用户登录网站并获得web服务器颁发的cookie凭证时,这个时候用户点击了攻击者构造的url时,就会在服务器上请求攻击者的url,并在执行攻击者的url中的js代码,js代码会将用户的cookie通过提交给攻击者,从而攻击者就可以获得用户的身份信息。

  1. 存储型xss:这个漏洞的产生一般是因为没有对用户的输入进行过滤,一般存在留言板居多,攻击者将xss代码通过留言板提交给服务器并且,并且存储在数据库中,与放射性xss不同的是,因为存储型xss是将恶意脚本存储在数据库端,所以它可以持续的进行攻击。因此,它的危害比反射性xss要大的多,每当用户访问已经被注入恶意脚本的网页时,恶意脚本就会执行,自己的cookie信息就会通过这个恶意脚本发送给攻击者。

CSRF(Cross-site request forgery)跨站请求伪造

与xss不同的是csrf攻击的方式并不是获取用户的cookie达到攻击的目的,而是在用户在访问服务器获取cookie时,用户点击了攻击者精心构造的url,在用户毫不知情的情况下,在用户的电脑上以用户的身份执行了攻击者想要做的事情,在这一过程,攻击者并没有获得用户的cookie。
举一个小例子:用户刚刚访问了网上银行,这个时候这个用户点击了攻击者的url,攻击者往往构造一些具有吸引力的url诱导你去点击,到这个用户点击了攻击者构造的url时,就会以用户的身份向这个网上银行提交url中的表单,表单的内容很可能就是向攻击者的账户上转账,用户在查一下自己银行上的钱时,发现只有几毛钱,真的是欲哭无泪啊。

西部壮仔
关注
跨站攻击(XSS+CSRF).docx
01-05
总结来说,XSSCSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
xss漏洞实战--放射性xss漏洞总结
weixin_42109829的博客
12-12 1366
1. 查找反射型的xss型的漏洞。 放射性xss漏洞一般存在于搜索框哪里,,原理我就不讲了,直接实战啦 ** 1.1 用偏僻字符绕waf 我们在找xss漏洞的时候常常会遇到一些waf防护就比如 例: 100招商网 我们输入最常见的poalay <script>alert(123)</script> 出现D盾防护。 这时候就出现了 我们应该知道他u盾是防护了什么,什么...
简述XSSCSRF的概念和区别
weixin_39327883的博客
04-25 1万+
XSS 全称Cross Site Scripting,名为跨站脚本攻击,黑客将恶意脚本代码植入到页面中从而实现盗取用户信息等操作。 常见的攻击情景: 1、用户A访问安全网站B,然后用户C发现B网站存在XSS漏洞,此时用户C向A发送了一封邮件,里面有包含恶意脚本的URL地址(此URL地址还是网站B的地址,只是路径上有恶意脚本),当用户点击访问时,因为网站B中cookie含有用户的...
前端安全问题---XSSCSRF
阳光下的冷静的博客
05-09 1218
XSS概念 XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。 XSS的攻击原理 其原理是攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie、破坏页面的正常结构,插入广告等恶意内容、...
xss 攻击和 csrf 攻击浅显的理解
lizhihaoweiwei的专栏
07-19 352
xss 攻击和 csrf 攻击浅显的理解
一个反射型XSS例子的解析
交换一个思想,能得到俩思想
12-17 3万+
我们在访问一个网页的时候,在URL后面加上参数,服务器根据请求的参数值构造不同的HTML返回。 如http://localhost:8080/prjWebSec/xss/reflectedXSS.jsp?param=value... 上例中的value可能出现在返回的HTML(可能是JS,HTML某元素的内容或者属性)中, 如果将value改成可以在浏览器中被解释执行的东西,就形成了反射型X
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
这个“xss+csrf+html练习源码.rar”文件提供了针对这些漏洞的实战练习,帮助安全研究人员或开发者加深对这些威胁的理解和防御能力。 XSS攻击主要分为反射型、存储型和DOM型三种类型。反射型XSS发生在用户点击链接...
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
【HTTP协议与TCP/IP协议的关系】HTTP协议是...同时,掌握跨域、XSSCSRF的防范策略,是保障Web应用程序安全的基础。在实际开发中,应根据应用场景选择合适的连接方式,并严格实施安全措施,保护用户数据和系统安全。
Yii框架防止sql注入,xss攻击与csrf攻击的方法
10-21
在Yii框架中,防止SQL注入、XSS攻击和CSRF攻击是保障Web应用安全的重要环节。接下来将详细说明Yii框架在这些方面的防范策略和措施。 首先,对于SQL注入的防护,Yii框架通过多种手段来确保数据的安全性。例如,可以...
Java的各种实验包括反射,算法,多线程,面试题,springboot,shiro,valid,XSSCSRF防御
最新发布
10-03
本实验集合涵盖了多个Java技术领域的核心概念,旨在帮助开发者深入理解和掌握这些关键技术。 首先,我们来看“反射”(Reflection)。Java反射是Java语言的一个重要特性,允许程序在运行时检查类、接口、字段和方法...
ctf从入门到放弃:xsscsrf理解20190505学习笔记
爱党人士
05-06 2246
xss漏洞危害的三个案例: 1.XSS漏洞测试:cookie的窃取和利用  2.XSS漏洞测试:钓鱼攻击  3. XSS漏洞测试:xss获取键盘记录 利用输入恶意的js语句,并且是以get方式提交的,通过这个链接去欺骗用户点击后, 获取cookie,发到攻击者的后台。 2 post型不像get型那样可以直接获取url地址来欺骗用户点击达到欺骗目的,那么怎么办呢? 此时可以自己伪造一个页面,欺...
记录下对xsscsrf理解
软件界的鼬神
02-12 284
XSS:解释为跨域脚本攻击 csrf:解释为跨站伪造请求
csrfxss攻击的详解与区别
wuhuagu_wuhuaguo的博客
02-02 1万+
一、csrf攻击 1.CSRF基本概念、缩写、全称:CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件:(1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的...
XSS 攻击和 CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?
guoqkmiss的博客
05-12 1974
XSS 攻击和 CSRF 攻击 1、XSS 攻击 1. 概念 XSS(Cross Site Scripting):跨域脚本攻击。 2. 原理 不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js、hmtl 代码块等)。 3. 防范 编码;对于用户输入进行编码。 过滤;移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点) 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。 HttpOnly。
XSS跨站脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
XSSCSRF简单理解
GdutLq的博客
04-06 386
1.什么是 XSS ? 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表 CSS 混淆,故将跨站脚本攻击缩写为 XSS)。恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。 XSS允许攻击者可以在其他用户浏览的web页面中注入客户端脚本。一个跨站脚本漏洞可能会被攻击者用来绕开访问限制,例如同源策略。 XSS 主要有如下三种分类: • Reflected XSS(基于反射的
XSSCSRF两种攻击方式总结
JunDao73的博客
02-16 5795
用大白话谈谈XSSCSRF
weixin_34129696的博客
10-01 170
这两个关键词也是老生常谈了,但是还总是容易让人忘记与搞混~。XSSCSRF这两个关键词时常被拉出来一起比较(尤其是面试),我在这里也在写一篇扫盲文,也帮自己整理一下知识脉络。 这篇文章会用尽量“人话”的语言解释这二个关键词,让同学们对跨域,安全有更深一层次的了解。 国际惯例,先上一下维基百科: XSS:跨站脚本(Cross-site s...
关于XSS漏洞-简介
iamzhongyong的专栏
12-30 389
最早接触安全漏洞问题是在实习的时候,当时处于啥也不清楚的情况,师兄给了我一个应用安全团队扫描出安全问题列表,当时也没多想,就按照上面的说明把问题修复了,后来今年断断续续的出现了几次XSS的线上问题,这种漏洞如果被外部利用,都是很严重的问题,之前读《白帽子讲web安全》能够了解了一些XSS的知识,现在总结一下,好记性不如烂笔头啊。 (一)什么是XSS漏洞? cross sitescrip...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值