XSS与CSRF攻击

最新推荐文章于 2023-08-22 12:15:47 发布
最新推荐文章于 2023-08-22 12:15:47 发布
阅读量367 收藏
点赞数
分类专栏: 前端小记 文章标签: 前端
原文链接:https://baike.baidu.com/item/XSS%E6%94%BB%E5%87%BB/954065?fr=aladdin
版权

(最近在准备前端面试,由于之前一直接触小程序,没有太关注网络攻击这方面,趁着这个机会,给自己一个整理的机会。)

 

XSS(Cross Site Scripting)跨站脚本攻击

这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。

原理

HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,<title>与</title>之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签引入了一段JavaScript脚本时,这些脚本程序就将会在用户浏览器中执行。所以,当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生XSS漏洞。(可理解为是服务器过于信任用户输入字符导致)

类型

从攻击代码的工作方式可以分为三个类型:

(1)持久型跨站:最直接的危害类型,跨站代码存储在服务器(数据库)。

(2)非持久型跨站:反射型跨站脚本漏洞,最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。

(3)DOM跨站(DOM XSS):DOM(document object model文档对象模型),客户端脚本处理逻辑导致的安全问题。

基于DOM的XSS漏洞是指受害者端的网页脚本在修改本地页面DOM环境时未进行合理的处置,而使得攻击脚本被执行。在整个攻击过程中,服务器响应的页面并没有发生变化,引起客户端脚本执行结果差异的原因是对本地DOM的恶意篡改利用。

防御措施

(1)不信任用户提交的任何内容,对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、REFER、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。尽量采用POST而非GET提交表单;对“<”,“>”,“;”,“””等字符做过滤;任何内容输出到页面之前都必须加以en-code,避免不小心把htmltag显示出来。

(2)实现Session 标记(session tokens)、CAPTCHA(验证码)系统或者HTTP引用头检查,以防功能被第三方网站所执行,对于用户提交信息的中的img等link,检查是否有重定向回本站、不是真的图片等可疑操作。

(3)cookie 防盗。避免直接在cookie中泄露用户隐私,例如email、密码,等等;通过使cookie和系统IP绑定来降低cookie泄露后的危险。这样攻击者得到的cookie没有实际价值,很难拿来直接进行重放攻击。

(4)确认接收的内容被妥善地规范化,仅包含最小的、安全的Tag(没有JavaScript),去掉任何对远程内容的引用(尤其是样式表和JavaScript),使用HTTPonly的cookie。

 

CSRF(Cross Site Request Forgery)跨站域请求伪造

通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。(可以理解成网站在用户不知情的情况下,欺骗用户浏览器,让其以用户的名义运行操作)

防御措施

(1)检查Referer字段。HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域名下。(场景:商品列表页、商品详情页、评论页,若进入评论页的Referer是商品详情页的url,那么是不符合逻辑的,可能包含恶意的网址地址,没有位于详情页url之下,这是服务器就能识别恶意访问)[正常流程应该是,进入商品详情页才能进入商品评价页,若进去商品评价的上一级页面是可疑的,则可能是Referer网络攻击]

这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验。但这种办法也有其局限性,因其完全依赖浏览器发送正确的Referer字段。虽然http协议对此字段的内容有明确的规定,但并无法保证来访的浏览器的具体实现,亦无法保证浏览器没有安全漏洞影响到此字段。并且也存在攻击者攻击某些浏览器,篡改其Referer字段的可能。

(2)添加校验token。由于CSRF的本质在于攻击者欺骗用户去访问自己设置的地址,所以如果要求在访问敏感数据请求时,要求用户浏览器提供不保存在cookie中,并且攻击者无法伪造的数据作为校验,那么攻击者就无法再运行CSRF攻击。这种数据通常是窗体中的一个数据项。服务器将其生成并附加在窗体中,其内容是一个伪随机数。当客户端通过窗体提交请求时,这个伪随机数也一并提交上去以供校验。正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。

 

token一般为用户注册登录时后端解密返回的特殊字符串,具有时效性。在下一次需要用户请求的接口中,前端需要把token放到参数中带到后端,后端校验通过之后才会返回正确的接口信息

suifanya
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
前端安全之XSS攻击
weixin_30325971的博客
10-29 287
前端安全之XSS 转载请注明出处:unclekeith: 前端安全之XSS XSS定义 XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。 跨站脚本的重点不在‘跨站’上,而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际...
XSSCSRF攻击及防御
Judy_qiudie
09-19 476
一、 CSRF跨站点请求伪造(Cross—Site Request Forgery)  1、 CSRF攻击攻击原理及过程如下: (1)用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; (2)在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; (3)用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网...
小程序 csrf_单页应用程序中的现代csrf缓解
weixin_26636643的博客
08-13 1388
小程序 csrfCross-Site Request Forgery (or CSRF or XSRF or “sea-surf”) is one of the oldest attacks against web apps. It means that by embedding a form or URL into a malicious site, the attacker can get a...
XSSCSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
跨站攻击(XSS+CSRF).docx
最新发布
01-05
3. 从攻击者和受害者角度理解CSRF攻击,实施Low、Medium、High等级的CSRF攻击。 4. 学习并实践CSRF的修复措施,如使用CSRF Token等。 5. 撰写实验报告,注重规范性、逻辑性和表达清晰度。 实验过程中,学生将使用...
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入,xss攻击csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入,xss攻击csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
Cross-Site Scripting: DOM
牟云飞的博客
11-16 2462
Xss有经过后台,也有不经过后台的,在处理经过后台的Xss攻击时我们通过增加filter进行过滤,验证特殊字符、验证refer等方式,但是Dom型的xss参数的是不经过后台的,在后台处理没用。起初这个例子似乎是不会轻易遭受攻击的。毕竟,有谁会输入导致恶意代码的 URL,并且还在自己的电脑上运行呢?真正的危险在于攻击者会创建恶意的 URL,然后采用电子邮件或者社会工程的欺骗手段诱使受害者访问此 URL 的链接。当受害者单击这个链接时,他们不知不觉地通过易受攻击的网络应用程序,将恶意内容带到了自己的电脑中。..
微信小程序教学系列(7)- 小程序安全和权限管理
赤兔码
08-22 3271
在开发小程序时,我们要时刻牢记小程序的安全性。毕竟,我们可不希望我们的小程序被黑客入侵或者用户的隐私被泄露。所以,让我们一起来了解一下如何保障小程序的安全性吧!
XSS (Cross-Site-Scripting)笔记
Michael Feng's的网络日志
03-04 5902
Cross-Site-Scripting也称跨站脚本攻击,缩写通常为XSS. 或者先到这里补充下知识:http://en.wikipedia.org/wiki/Cross-site_scripting 由于工作需要最近在研究一些常用的攻击方式和漏洞,用以预防和修复.如果你还没有听过说这些,可能你需要先阅读下以下的内容以帮助你快速进入状态。 XSS主要可分为三种,Reflected
XSS攻击常识及常见的XSS攻击脚本汇总
qw_xingzhe的专栏
06-16 7万+
一、什么是XSS?XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。二、XSS有什么危害?当我们知道了什么是XSS后,也一定很想知道它到底有什么用,或者有什么危害,如何防御。关于XSS有关危害,我这里中罗列...
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
跨域攻击XSS防御
无界编程
09-26 4959
Java的view层可以使用EL和JSTL后端的ModelAndView增加mv.addObject("xss", "alert(\"test\")");View页面${xss}  c:out 有个缺省属性escapeXML="true" 将会对特色字符如 ‘‘ ‘&‘ 等进行转义,而EL表达式则不会。
微信公众号之XSS攻击
cdgm_c的博客
05-23 4397
最近入职新公司后接手了一个项目,线上遇到一连串微信公众号的问题,都是项目之前留下的坑,之前没有接触过微信开发,踩完坑来记录一下。 XSS攻击 前景提要 公司项目属于比较旧的项目,没有前后端分离,还是用的SSM+JSP的架构,导致接口请求时被注入js脚本恶意跳转,然后被微信封了一批接口(例如https://www.aa.com/bb/cc接口被攻击,以bb为前缀的接口都会被封禁) 之前接触过的项目是前后端分离的,后台接口是REST风格,就算传入参数带有js脚本也造成不了影响(REST接口只向客户端返回数据),
没有CSRF保护的HTML表单
Tastill的博客
08-18 2276
https://blog.csdn.net/qq_29277155/article/details/106868701
跨站脚本攻击(XSS)FAQ
aome1470的博客
11-13 279
原作者charlee、原始链接http://tech.idv2.com/2006/08/30/xss-faq/以及本声明。 该文章简单地介绍了XSS的基础知识及其危害和预防方法。Web开发人员的必读。译自 http://www.cgisecurity.com/articles/xss-faq.shtml。 简介 现在的网站包含大量的动态内容以提高用户体验,比过去要复杂...
提升Web安全:预防XSSCSRF攻击的策略与测试手段
"不安全的对象引用防止XSS攻击-安全性测试初步接触" ...防止不安全的对象引用以抵御XSSCSRF攻击是安全测试的核心内容,开发者和测试人员需要全面掌握这些知识,不断更新防御策略,以应对日益复杂的网络安全威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值