浅谈网络安全--xss、csrf、csp

最新推荐文章于 2024-03-31 13:05:48 发布
最新推荐文章于 2024-03-31 13:05:48 发布
阅读量491 收藏
点赞数
文章标签: 网络 php
原文链接:https://juejin.im/post/5bd1da2a6fb9a05d2e1be117
版权

一、XSS

概念

跨网站指令码(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程式的安全漏洞攻击,是代码注入的一种。它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。

举例

我们知道留言板通常的任务就是把用户留言的内容展示出来。正常情况下,用户的留言都是正常的语言文字,留言板显示的内容也就没毛病。然而这个时候如果有人不按套路出牌,在留言内容中丢进去一行:

<script>alert("hey!you are attacked")</script>
复制代码

那么留言板界面的网页代码就会变成形如以下:

<html>
    <head>
       <title>留言板</title>
    </head>
<body>
<div id="board">
    <script>alert("hey!you are attacked")</script>
</div>     
    </body>
</html>
复制代码

那么别的用户加载到留言板的时候,就会出现这个弹出框;

其他可以干的事情

攻击者当然不会仅仅弹出一个alert框,既然可以插入脚本,那么也可以做一些其他的事情,例如:

1、窃取网页浏览中的cookie值,为接下来的CSRF做准备

2、劫持流量实现恶意跳转

3、注入脚本获得其他信息

如何绕过一般网站的过滤规则

实际应用中web程序往往会通过一些过滤规则来组织代有恶意代码的用户输入被显示,以下是一些常用的xss攻击绕过过滤的一些方法:

1、大小写绕过

http://192.168.1.102/xss/example2.php?name=<sCript>alert("hey!")</scRipt>
复制代码

2、利用过滤后返回语句再次构成攻击语句来绕过

http://192.168.1.102/xss/example3.php?name=<sCri<script>pt>alert("hey!")</scRi</script>pt>
复制代码

发现问题了吧,这个利用原理在于只过滤了一个script标签。 3、并不是只有script标签才可以插入代码

http://192.168.1.102/xss/example4.php?name=<img src='w.123' onerror='alert("hey!")'>
复制代码

其他绕过方式可以参考知乎用户Snake专栏文章;

防范手段

1、既然是代码注入攻击,那我们可以对敏感字符做转义,如下:

function escape(str) {
    str = str.replace(/&/g, "&amp;");
    str = str.replace(/</g, "&lt;");
    str = str.replace(/>/g, "&gt;");
    str = str.replace(/"/g, "&quto;");
    str = str.replace(/'/g, "&##39;");
    str = str.replace(/`/g, "&##96;");
    str = str.replace(/\//g, "&##x2F;");
    return str
}
复制代码

2、CSP(接下来会谈到)

3、过滤诸如<script><img><a> 标签

3、为防止cookie盗用,我们还可以在Http响应头设置HttpOnly

二、CSP

上文提到了可以用CSP来防止XSS攻击,那CSP到底是什么呢?

概念

内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段;

举例

前段时间王二想在知乎控制台下插入一段脚本,如下:

则会提示报错,而在有些网站(百度,Google)不会报错;

这是因为在知乎遵循了CSP,在网站的http头部定义了 Content-Security-Policy

CSP 本质上是建立白名单,规定了浏览器只能够执行特定来源的代码;

那么即使发生了xss攻击,也不会加载来源不明的第三方脚本;

三、CSRF

概念

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站指令码(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

举例

1、同一个浏览器下

假如一家银行用以执行转帐操作的URL地址如下:

http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName
复制代码

那么,一个恶意攻击者可以在另一个网站上放置如下代码:

<img src="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman">
复制代码

如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金。

2、结合xss使用

上文说了xss可以结合csrf使用;

在通过xss获得目标用户的cookie后,打开目标网站的登录界面,调出Chrome控制台的Application面板,调至cookie选项卡:

再把目标用户的cookie填进去,再把过期时间调长一些,

完成之后再次刷新页面,发现已经不是之前的登录界面了,而是登录后的界面。至此,一个从cookie窃取到利用的过程就已完成。

防范手段

对于上面说的第一个例子:

1、检查Referer字段:HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域名下。

2、添加校验token

对于上面说的第二个例子,则做好防止xss攻击的相应措施。

参考文章:

知乎用户Snake专栏文章

wikiwand xss

wikiwand csrf

InterviewMap

'Coocier'的开发小记

原文参考

王玉略的个人网站

转载于:https://juejin.im/post/5bd1da2a6fb9a05d2e1be117

weixin_33921089
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
常见web攻击手段及防御措施
qq_36737839的博客
12-30 1249
CSRF 攻击:跨站请求伪造 跨站请求伪造 CSRF (Cross-site request forgery),是一种挟制用户在当前已登录的 Web 应用程序上执行非本意操作的攻击方法。 ​ 它利用用户已经登录的身份信息,在用户无感的情况下,以用户的名义完成操作。 攻击流程 ​ 一次 CSRF 攻击发生的过程可能是这样: ​ 我们来简述一下图示流程: ​ A. 用户 A 登录购物网站 http://www.example.shop,并获取到 cookie。 ​ B. 攻击者事先知道该购物网站
网络安全 (五 XSS
Aidang的博客
05-01 582
xss(挖掘闭合,绕过)-----跨站脚本-----缓冲区溢出攻击 cookie 后台地址发送给你 通过服务器的漏洞攻击客户端 ----在一些交互的地方,利用有没有弹框的方法来检测有没有漏洞 xss危害: 钓鱼,窃取cookie 强制弹出广告页面,刷流量, 网页挂马,提升权限, 传播跨站脚本蠕虫 调用js代码: 标签,属性,元素,样式 alert(1); #输出语句 xss分类: 反射型(非持久...
网络安全---XSS攻击
tt07406的博客
08-30 304
一、浏览器安全 1,同源策略: 影响源的因素:host,子域名,端口,协议 a.com通过以下代码: 加载了b.com上的b.js,但是b.js是运行在a.com页面中的,因此相对于当前打开的页面(a.com)来说,b.js的源就应该是a.com而非b.com 不同于XMLHttpRequest的是,通过src属性加载的资源,浏览器限制了JavaScript的权限,使其不能读、写返回的...
[网络安全学习篇56]:XSS(一)
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
05-02 2223
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客(课程笔记)的形式去学习它,虽然写博客会让我多花几倍的时间去学习它,但是当我完成一篇博客所获得的成就感和你们对于我的认同感,让我很满足,能够鼓励我一天天的坚持下去,也希望和我...
网络安全笔记 -- XSS跨站(原理、分类、WAF绕过、安全修复)
swy66的博客
08-22 1482
简单讲了XSS跨站脚本攻击原理和分类
xss-labs-master.rar
05-09
XSS实验室详解:从入门到精通》 XSS(Cross-site scripting)是一种常见的Web应用程序安全漏洞,...通过系统地完成这二十个关卡,你将能够更好地理解XSS的威胁,提高网络安全意识,为保护Web应用安全打下坚实基础。
E069-web安全应用-存储型XSS的场景实践.pdf
12-02
3. 使用Content Security Policy(CSP):CSP可以指定哪些来源的脚本可以被执行,从而防御XSS攻击。 4. 使用HttpOnly Cookie:HttpOnly Cookie可以防止JavaScript访问Cookie,从而防御XSS攻击。 知识点6:存储型...
实验十一-网站程序与网站安全.pdf
12-03
【正文】 在现代互联网环境中,网站程序与网站安全是至关重要的主题。...通过这个实验,学生将不仅学习到基本的安全概念,还会接触到实际的防御策略和技术,为未来在IT领域中构建更安全的网络环境打下坚实基础。
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
网络安全自学篇】八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结 本文主要介绍了网络安全领域中常见的几种攻击手段,包括CSS注入、越权访问、csrf-token窃取以及XSS跨站脚本攻击,并通过WHUCTF比赛中的...
网络安全Web攻击思维导图
最新发布
04-07
XSSCSRF和SQL注入是Web应用中最常见的三种安全威胁。了解这些攻击的工作原理以及如何防御它们对于保护Web应用的安全至关重要。通过对用户输入进行严格的验证和过滤,使用现代的安全技术如参数化查询和内容安全策略...
Web安全之CSP
weixin_30649641的博客
12-08 159
内容安全策略(Content-Security-Policy,简称CSP) 概念: 内容安全策略(CSP)是一种web应用技术用于帮助缓解大部分类型的内容注入攻击,包括XSS攻击和数据注入等,这些攻击可实现数据窃取、网站破坏和作为恶意软件分发版本等行为。该策略可让网站管理员指定客户端允许加载的各类可信任资源。 浏览器支持: 统计来源:caniuse.com/c...
网络安全术语解读 」内容安全策略CSP详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-09 2565
CSP(Content Security Policy,内容安全策略)是一种网络安全技术,它通过限制网页中可以加载的资源(如脚本和图像),来防止恶意攻击,如跨站脚本攻击(XSS)。CSP的主要原理是通过在网页中实施一些安全策略来限制代码执行,从而减少攻击者利用的机会。Note:要启用CSP,响应需要包含名为的HTTP响应标头,该标头的值包含策略。策略本身由一个或多个指令组成,由分号分隔。
前端常见攻击及防范 xxs csp csrf...
weixin_42542616的博客
08-03 518
xxs 什么是 XSS 攻击?如何防范 XSS 攻击?什么是 CSPXSS 简单的理解就是,攻击者想尽一切办法将可执行的代码注入到网页中。 XSS 可以分为多种类型,但是总体上我认为分为两类:持久型和非持久型。 持久型也就是攻击的代码被服务端写入进数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会导致大量正常访问页面的用户都受到攻击。 例子 对于评论功能来说,就得防范持久型 XSS 攻击,因为我可以在评论中输入以下内容 <script> alert('111
CSP:内容安全策略详解
Songxianshengbei的博客
03-31 760
除了Content-Security-Policy字段外,CSP还支持其他一些相关的字段,如Content-Security-Policy-Report-Only用于报告模式,即只记录违反策略的行为而不阻止其执行;这些规则可以是具体的URL、域名、协议等,也可以是特殊的关键字,如'self'表示允许加载来自同一来源的资源。此外,CSP还支持一些其他指令和特性,如default-src用于设置所有未明确指定类型的资源的默认来源规则,nonce和hash用于验证资源的完整性等。
什么是XSSCSRFCSP?如何防止攻击
tyxjolin的专栏
03-31 1337
前端安全是Web应用程序中一个重要的环节,它可以防止各种安全攻击的发生,保护Web应用程序的安全性和可靠性。在开发Web应用程序时,应该采用一系列的防范措施来保护前端的安全。这些防范措施包括防止XSS攻击、防止CSRF攻击、使用CSP等。同时,Web应用程序也应该定期更新和升级,进行安全审计和渗透测试,发现并修复可能存在的安全问题。在实践中,要注意防止过度防御和盲目相信输入数据的情况。过度防御可能会导致Web应用程序的性能下降,同时也可能会引入新的安全漏洞。
C#--正则过滤网页及数据库敏感字符——网络安全
qq_37541057的博客
10-18 1210
网站安全,网络攻击
浅谈CDN、SEO、XSSCSRF
weixin_34364135的博客
03-03 290
CDN 什么是CDN 初学Web开发的时候,多多少少都会听过这个名词->CDN。 CDN在我没接触之前,它给我的印象是用来优化网络请求的,我第一次用到CDN的时候是在找JS文件时。当时找不到相对应的JS文件下载地址(之前一般我都是把JS下载下来,然后在项目中引用的。PS:当然了,我觉得大部分初学者都一样) 找着找着发现了这个网站:h...
CSP内容安全策略
dzqxwzoe的博客
01-09 1658
内容安全策略 (CSP是一个附加的安全层,有助于检测和缓解某些类型的攻击,包括跨站点脚本(XSS)和数据注入攻击。这些攻击用于从数据窃取到网站污损或恶意软件分发的所有事情。
常见的前端安全CSRF/XSS以及常规安全策略
小草莓的博客
07-14 1817
5、前端的常规安全策略 ① 定期请第三方机构做安全性测试和漏洞扫描 ② code review 保证代码质量 ③ 默认项目中设置对应的 Header 请求头,如 X-XSS-Protection、 X-Content-Type-Options 、X-Frame-Options Header、Content-Security-Policy 等等 ④ 尽量不用v-html、在有输入框的地方要对输入做拦截和校验等
Web前端安全:XSSCSRF深度剖析
此话题涵盖了多个子主题,包括XSS(跨站脚本)漏洞挖掘与利用、CSRF(跨站请求伪造)、对域和同源策略的理解,以及Content Security Policy(内容安全策略)等。 1. XSS漏洞挖掘与利用: XSS攻击是一种常见的Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值