CSRF/XSRF攻击和XSS攻击

最新推荐文章于 2024-04-30 16:57:21 发布
最新推荐文章于 2024-04-30 16:57:21 发布
阅读量501 收藏 1
点赞数
分类专栏: 网络 文章标签: csrf xss javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012174809/article/details/124626829
版权

XSS (Cross Site Scripting跨站脚本)。XSS定义的主语是“脚本”,是一种跨站执行的脚本,也就是javascript脚本,指的是在网站上注入我们的javascript脚本,执行非法操作。

CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF定义的主语是”请求“,是一种跨站的伪造的请求,指的是跨站伪造用户的请求,模拟用户的操作.


XSS攻击发生的条件是可以执行javascript脚本,一般在站点中总会有发表文章、留言等信息的表单,这种表单一般是写入到数据库中,然后在某个页面进行展示。我们可以在这些表单中直接编写javascript代码(<script>alert("哈哈哈哈,你被攻击了!");</script>)进行测试,看是否可以执行。如果在信息展示页面js代码可以执行,XSS攻击就成功了。

CSRF攻击能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于cookie中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有token或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。这种方法要比检查 Referer 要安全一些,token 可以在用户登陆后产生并放于session之中,然后在每次请求时把token 从 session 中拿出,与请求中的 token 进行比对
【XSS攻击介绍(一)】_韧雨之弥的博客-CSDN博客_xss攻击

如花菇凉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站攻击(XSS+CSRF).docx
01-05
实验目的与要求 1. 能理解XSS注入原理; 2. 能应用Low等级、Medium等级、High级别的XSS; 3. 能理解XSS的修复。 4. 能从攻击者角度、受害者角度描述CSRF; 5. 能应用Low等级、Medium等级的CSRF实现; 6. 能摸索High级别的CSRF实现; 7. 能理解CSRF的修复。 2. CSRF定义 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 3. 实验内容 利用Kali Linux对DVWA的Reflected Cross Site Scripting (XSS)/Stored Cross Site Scripting (XSS)模块,包括: 1) Low等级;(15分) 2) Medium等级;(10分) 3) High级别;(10分) 4) Impossible等级的机制以及修复、防御方法。(10分) 5) 报告撰写规范程
起名字、三个字母任意组合,一共有17576种组合
可爱的狼
09-23 13万+
$arr = array(); $str = "abcdefghijklmnopqrstuvwxyz"; for ($i =0; $i < strlen($str); $i ++) { for ($j =0; $j < strlen($str); $j ++) { for ($k =0; $k < strlen($str); $k ++) { array_push($arr,$str[$i].$str[$j].$str[$k]); .
html使用base64编码的图片显示
陈健平的博客
05-22 1万+
在image标签的src中加入data:image/png;base64,(base64编码),即可显示对应的图片。 <image src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAPoAAAFKCAIAAAC7M9WrAAAACXBIWXMAAA9hAAAPYQGoP6dpAAAJS2lUWHRYTUw6Y29tLmFkb2JlLnhtcAAAAAAAPD94cGFja2V0IGJlZ2luPSLvu78iIGlkPSJXNU0wTXBDZWhp
matlab散点的三角剖分和散点插值
热门推荐
fionachen33的专栏
07-29 14万+
首先导入散乱点的空间坐标列向量xx,yy,zz scatter3(xx,yy,zz); %散点的三维图fig1 hold on scatter(xx,yy,5,zz) %散点的二维图fig1 >> [X3,Y3,Z3]=griddata(xx,yy,zz,linspace(min(xx),max(xx))',linspace(min(yy),max(yy)),'v
ps.zhu7jie.com/forum-36-1.html,Eclipse Community Forums
weixin_31363715的博客
06-19 2万+
This is a multi-part message in MIME format.--------------060203070305050102090501Content-Type: text/plain; charset=ISO-8859-1; format=flowedContent-Transfer-Encoding: 7bitEd,I deleted my projects and...
前端安全之xssxsrf
qq_41801117的博客
03-27 4141
提到前端安全,往往离不开xss(跨站脚本攻击)、xsrf(跨站伪造请求),在此记录一下关于前端安全的学习过程。 什么是xss? 跨站脚本攻击(Cross Site Scripting),为了不和css(层叠样式表)混淆,故记为xss。其原理是利用用户对某个指定网站的信任,被恶意用户进行了web攻击(通常这种攻击会利用js实现)。 简单攻击场景 某用户A逛网站时发现某可以分享文章的论坛,非常感兴趣,写下以下文章 用户A:你好,我是用户A,<script>alert(3)</script&gt
【前端知识】浅谈XSSCSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1458
【前端知识】浅谈XSSCSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式。常见的浏览器攻击主要包括跨站脚本攻击XSS)、跨站点请求伪造攻击CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击CSRF攻击
前端安全之XSSXSRF攻击,及其解决方案
qq_38361229的博客
12-13 659
XSSCSRF攻击,及其解决方案
【DRF】DRF框架的介绍和安装、RESTful规范(1)
python全栈
05-10 743
一、为什么学习DRF Django的未来与Web开发未来发展趋势紧密相关。Django这种基于MVT开发模式的传统框架,⾮常适合开发基于PC的传统⽹站,因为它同时包括了后端的开发(逻辑层,数据库层) 和前端的开发(如模板语⾔,样式)。 然⽽最近⼏年及未来⼏年更流⾏的开发模式肯定是前后端分离, Django也需要做出⾃⼰的改变来适应这种开发模式。现代⽹络应⽤Web APP或⼤型⽹站⼀般是⼀个后台,然后对应各种客户端(IOS, Android, 浏览器)。由于客户端的开发语⾔与后台的开发语⾔经常不⼀样,这时需要
XSSCSRF攻击防御
zl的博客
08-17 1万+
一、概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF; 二、XSS 什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于...
XSSCSRF两种跨站攻击总结
02-26
但是,历史同样悠久的XSSCSRF却没有远离我们。由于之前已经对XSS很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过Tidy之类的过滤,我一定会在模板输出时候全部转义。所以个人感觉,要避免...
安全性测试--CSRF攻击
02-26
CSRF(Cross-siterequestforgery),中文名称:跨站请求伪造,也被称为:oneclickattack/sessionriding,缩写为:CSRF/XSRF。你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
Web前端安全问题分类综合以及XSSCSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
JINGWHALE
04-22 1158
本文介绍了Web前端安全问题分类综合以及XSSCSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
云服务器搭建XSS-platform、DVWA靶机和Permeate论坛
weixin_44371842的博客
04-24 518
我发现目前网上的xss-platform的搭建教程都是基于本地搭建的,这样搭建好的xss平台只能在本地使用,无法测试别的网站。而网络上的大部分xss平台又几乎都是收费的,所以写这篇博客记录一下在服务器上搭建xss-platform的过程,并且顺带搭建了DVWA靶机和一个网络安全论坛。这次部署一共有三个系统,分别是xss-platform,dvwa靶机系统和permeate论坛。
vue快速入门(四十六)Router的安装与使用
不起眼小菜菜的博客
04-26 631
步骤很详细,直接上教程……
bpmn-js推荐几款常用的插件
最新发布
飞云先生
04-30 22
bpmn-js整体框架库的风格是以组件的方式进行实现的,这样的结构也更加便于我们更好的对其进行功能扩展,以及客制化功能实现。其实bpmn.io已经为我们实现了较多场景的组件的实现,了解对应组件的功能更能便于我们区分是否需要自己实现,降低重复造轮子的行为,提高开发效率,本篇文章主要是介绍常见的bpmn-js中使用的组件库。
用Typescript写自动化工作流
联蔚盘云的博客
04-29 857
acao 的命令还有一些其他用法,比如指定执行某个 job 或者忽略依赖 通过命令行参数的方式注入等等,详细使用方式可以查看文档这个项目最近也在持续更新中,后续也会支持更多的预设,web ui 的操作方式也在计划中小伙伴想参与预设的开发也欢迎 pr 呀。
前端Vue2项目搭建过程
xuemen11的博客
04-25 1201
vue2,vuex,vant组件库
客户端支持防止csrf/xsrf(跨域请求伪造)
09-15
客户端支持防止CSRF/XSRF(跨站请求伪造)的方法主要包括以下几种: 1. 验证码:在敏感操作如支付、修改密码等环节,向用户发送验证码,要求用户输入正确的验证码后才允许进行操作。这样可以有效防止CSRF攻击,因为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值