CSRF之介绍及与XSS的结合学习笔记

最新推荐文章于 2024-03-30 00:00:19 发布
最新推荐文章于 2024-03-30 00:00:19 发布
阅读量1.3w 收藏
点赞数 1
分类专栏: 安全学习 # Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/106881472
版权
安全学习 同时被 2 个专栏收录
210 篇文章 81 订阅
订阅专栏
Web
94 篇文章 21 订阅
订阅专栏

文章目录

CSRF

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF。

CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

同源策略

同源策略,它是由Netscape提出的一个著名的安全策略。
现在所有支持JavaScript 的浏览器都会使用这个策略。
所谓同源是指,域名,协议,端口相同。

当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面
当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,
即检查是否同源,只有和百度同源的脚本才会被执行。 [1] 
如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。

php中加上
header(“Access-Control-Allow-Origin:*”);

Y4tacker
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSSCSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
CSRF漏洞的概念、利用方式、防御方案
好好睡觉
03-19 3455
CSRF漏洞的概念,利用方式、防御方案
xss+csrf的组合拳
wo41ge的博客
12-16 3048
今天 就把之前学的东西简单的总结一下吧 【第一拳】存储型 XSS + CSRF
Day56:WEB攻防-CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
最新发布
qq_61553520的博客
03-30 583
小迪安全-Day56:WEB攻防-CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
CSRFXSS组合拳
weixin_60719780的博客
01-17 895
简单的xsscsrf的组合利用
xsscsrf(详解)
qq_62046696的博客
06-30 3992
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
学习 xss+csrf 组合拳
weixin_67259816的博客
05-28 2772
该篇文章记录了xss+csrf的组合拳,无论是存储型xss还是反射型xsscsrf结合在一块,都会有一个更强大的收获。
XSS+CSRF组合拳
weixin_50464560的博客
03-12 2254
0x00 前言 今天学习一下 XSS + CSRF 组合拳,现将笔记记录如下。 0x01 靶场环境 本机(Win):192.168.38.1 DVWA(Win):192.168.38.132 Beef(Kali):192.168.38.129 0x02 组合拳思路 第一拳:存储型 XSS + CSRF(存储型 XSS 攻击代码中加入 CSRF 代码链接) 第二拳:CSRF + SelfXSSCSRF 代码中加入 SelfXSS 代码) 0x03...
前端安全之XSSCSRF
Spontaneous_0的博客
02-15 206
前端安全之XSSCSRF
ctf xss利用_Csrf+Xss组合拳
weixin_39865952的博客
12-12 336
各位大师傅,第一次在合天发文章,请多多关照今年年初的疫情确实有点突然,打乱了上半年的所有计划(本来是校内大佬带我拿奖的时刻,没了,学长毕业了,就剩下我这个小垃圾带着下一届去搞ctf了,难啊,难啊)0x01这个站是我疫情时候在线上网课的平台,本着对信息安全做贡献的目的下去做的这个渗透工作(咳咳,这个平台有个签到,每次签到我都在与大脑作斗争,最后争不过大脑,选择了睡觉,最后旷课太多,不搞要挂...
详解XSSCSRF简述及预防措施
10-17
主要介绍XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解WEB攻击之CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
xss反射存储型的+csrf+html注入老网站的练习源码
XSSCSRF
qq_44832048的博客
07-18 198
XSS 反射型XSS,也叫做“非持久型XSS”,只是简单的把用户输入的数据“反射”给浏览器; 存储型XSS,也叫做“持久型XSS”,会把用户输入的数据“存储在”服务器端。常见的场景是,黑客写下一篇含有恶意JavaScript代码的博客文章,文章发表后,所有访问该博客文章的用户,都会在他们的浏览器中执行这段恶意的JavaScript代码; DOM Based XSS,从...
CSRFXSS的组合拳演示
bring_coco的博客
12-14 1557
一.存储型XSSCSRF(在存储型xss中加入CSRF) 1.配置代理 2.打开CSRFTester工具 3.抓取流量 注意:Form Parameters需要将左面的两行复制过去可修改,第二个红箭头的勾选最好去掉,因为有时候自动生成的poc不能用,需要做一些更改,最后点击Generate HTML进行保存至自定义目录下,名称csrf5.html 4.查看代码把容易被人发现的代码去掉 将两个圈的地方去掉,将红箭头那两行必须value值相等 更改完成一半,还需要一句更改密码 CSRF代码成功
xss结合csrf实验】
一纸荒芜的博客
09-07 1739
通常xss漏洞可以和csrf漏洞结合使用,今天就做一个小的实验举例,漏洞主要利用的是用户修改敏感信息的未退出状态,并且修改信息不需要验证时很容易被伪造,当我们发现存在csrf漏洞时,可构造url请求信息,配合xss漏洞去配合诱导访问。本实验由本地搭建的pikachu靶场做演示。 本期简单介绍xss漏洞与csrf漏洞的配合使用。
xss+csrf组合拳这么玩
yggcwhat
05-28 869
xss+csrf组合拳这么玩
WEB漏洞测试(三)——CSRF结合XSS攻击
qq_28241149的博客
03-04 2255
一.CSRF攻击 首先我们来看下什么叫做CSRF攻击,CSRF是一种伪造请求访问网站的方式,我们都知道B/S架构是基于HTTP请求完成前后端的通讯的,假设我其实不是真正的网站前端而伪造请求进行访问后台,就会产生一定的危险。 举例说,假设我登录A网站购买某产品,但是B网站伪造A网站购买产品的请求去访问A网站的后台接口,这就是一种CSRF的攻击了。 那么问题来了,B网站实际上并没有登
什么是CSRF漏洞,它与XSS攻击的异同。
06-12
CSRF(Cross-Site Request Forgery)漏洞是一种常见的Web安全漏洞,攻击者通过构造精心设计的恶意请求,偷取用户在已登录的网站上的身份信息,并在用户不知情的情况下,以其身份执行某些恶意操作。 XSS(Cross-site...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值