【小笔记3】跨站脚本攻击(XSS)和跨站请求伪造(CSRF)是什么,如何对两种安全漏洞进行对应的安全防护措施?

最新推荐文章于 2024-09-03 10:22:59 发布
最新推荐文章于 2024-09-03 10:22:59 发布
阅读量370 收藏
点赞数
分类专栏: 个人小笔记 文章标签: 安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41471759/article/details/132058637
版权

跨站脚本攻击(xss):通过在目标网页中注入恶意的脚本代码使得用户在浏览网页时导致信息泄露、会话劫持等问题,常见于网页表单、用户提交的数据、URL参数等地方。

防护措施:

1)输入的处理与过滤:对于用户输入框数据进行过滤和文本转义,将特殊字符进行转义或删除。

2)输出编码:输出用户数据时,对数据进行编码处理,如使用encodeURIComponent()方法对数据进行编码处理。

3)HttpOnly和Secure属性设置:在设置Cookie时,使用HttpOnly和Secure属性,限制Cookie只能通过HTTP请求访问,防止恶意脚本通过document.cookie获取到Cookie信息。

跨站请求伪造(CSRF):攻击者盗用用户了用户身份,以用户名义发送恶意请求,常见于用户被诱导点击了攻击者提供的链接或访问了恶意网站时,攻击者可以对用户已登录的网站发起请求,执行一些权限内的操作。

防护措施:

1)验证来源:服务器对每个请求进行来源验证,确保请求来自合法的域名,如同源检测和Referer检测。

2)使用随机令牌:在用户请求时生成随机令牌随同表单一起提交给服务器验证。

3)敏感操作进行二次验证:对于一些敏感操作,如修改密码、支付等,要求用户进行二次验证,例如输入密码、验证码等。

携码前行
关注
专栏目录
CSRF漏洞
2ed
06-13 1509
CSRF是什么? CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,...
Web Security Academy 伪造请求CSRF
汗的博客
12-08 739
笔者Burpsuite Web 安全学院的学习笔记 Burpsuite Web 安全学院:Cross-site request forgery (CSRF)
第六次作业
最新发布
m0_65840192的博客
09-03 968
用户登录:用户在目标网上成功登录,通常使用用户名和密码。此时,网会设置一个认证Cookie或会话标识符,以保持用户登录状态。攻击者创建恶意内容:攻击者设计一个恶意网页或链接,这些内容包含伪造请求指向目标网。例如,攻击者可能创建一个隐藏的表单,提交到目标网的账户设置更改接口。诱导用户访问:攻击者将恶意网页或链接发送给用户,通过电子邮件、社交媒体或其他途径诱使用户点击或访问。例如,攻击者可能伪装成一个有趣的内容或重要的通知。触发伪造请求:用户在浏览器中访问恶意网页时,恶意内容会在后台自动发起请求
XSS-跨站脚本攻击
qq_64177395的博客
08-16 1477
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的1.2 XSS类型反射型也称为非持久型,这种类型的脚本是最常见的,也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中。
总结 XSSCSRF 两种攻击
peizhiinfo
11-24 798
XSS脚本(Cross-site scripting) CSRF请求伪造(Cross-site request forgery) 在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代,参数化查询已经成了普及用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSSCSRF 却没有远离我们...
XSS跨站脚本攻击)、CSRF请求伪造
W_jin的博客
11-10 540
XSS跨站脚本攻击) 推荐学习链接:https://www.bilibili.com/video/BV1U54y197bc?p=35 跨站脚本攻击(Cross Site Script)。 浏览器错误的将攻击者提供的用户输入数据当做了JavaScript脚本给执行了,窃取包括用户身份信息在内的各种敏感信息、修改Web网页以欺骗用户,设置控制受害者浏览器,或者和其他漏洞结合起来形成蠕虫攻击。 浏览器向服务器请求时被注入脚本攻击,篡改浏览器正常展示,窃取用户信息。 三种类型:存储(持久型)、反
跨站脚本攻击请求伪造
林见鹿鸣
10-11 2953
XSS, 即为(Cross Site Scripting), 中文名为脚本, 是发生在目标用户的浏览器层面上的,当渲染 DOM 树的过程成发生了不在预期内执行的 JS 代码时, 这个不在预期的JS代码是攻击者将恶意代码植入到提供给其它用户使用的页面中 ,就发生了 XSS 攻击。 跨站脚本攻击有可能造成以下影响。 利用虚假输入表单骗取用户个人信息。 利用脚本窃取用户的 Cookie 值,被害者在不知情的情况下, 帮助攻击者发送恶意请求。 显示伪造的文章或图片。 反射性XSS 反射型XSS只是简单的把.
跨站脚本攻击XSS)和请求伪造攻击(CSRF)
chengyiwo8128的博客
12-23 284
XSS攻击原理 xss诱使Web点执行本来不属于它的代码,而这些代码由攻击者提供、为用户浏览器加载。攻击者利用 这些代码执行来获取信息。从本质上来讲,XSS漏洞终究原因是由于网的Web应用对用户提交请求参数未做充 分的检查过滤。 例子: 我们可以给输入框输入:<I><F...
【基础篇】第02篇:PHP代码审计笔记--脚本漏洞1
08-03
3. 在API开发中验证Referer字段:Referer字段记录了用户是从哪个页面跳转过来的,检查这个字段可以帮助防止请求伪造(CSRF)攻击,同时也为XSS防护提供了一定的帮助,因为恶意脚本通常不能伪造Referer。...
【渗透测试笔记】七、XSS脚本漏洞
【User Not Found】的博客
04-25 1039
We are all in the gutter, but some of us are looking at the stars. 身在井隅,心向璀璨。 本文仅供学习交流,正确使用渗透测试,遵守相关法律法规,请勿用于非法用途。 目录实验环境关于漏洞漏洞挖掘1. Reflected Cross Site Scripting (XSS)2. beef xss framework 实验环境 本实验...
Web安全XSSCSRF以及如何防范,2024年阿里网络安全面试题及答案
2401_83974064的博客
04-18 750
CSRF, 即Cross-site request forgery)中译是请求伪造CSRF 顾名思义,是伪造请求,冒充用户在内的正常操作。我们知道,绝大多数网是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网,因为 Session ID 也是大多保存在 cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器端)发起用户所不知道的请求
常用脚本
02-28
SQL脚本注入及防范、脚本
网络安全笔记-99-渗透-CSRF
wwxxee
01-21 437
CSRF Cross-site request forgery:请求伪造 原理 攻击者利用受害者的身份,以受害者的名义执行非法操作。 举个例子,假如你想给某位用户转账100元,那么单击转账按钮之后,发出的HTTP请求会与http://www.xxbank.com/pay.php?user=xx&money=100类似。而攻击者构造链接(http://www.xxbank.com/pay.php?user=hacker&money=100),当受害者访问了该url后就会自动向Hack账号转
SQL注入,脚本,请求伪造,傻傻分不清楚
伤心的辣条
08-18 300
安全测试常见的SQL注入,跨站脚本攻击以及请求伪造这三个经常有人分不清楚。今天就澄清一下概念,并举例说明这三个分别是什么。
跨站脚本攻击漏洞(XSS):基础知识和防御策略
热门推荐
weixin_43263566的博客
01-16 1万+
跨站脚本攻击漏洞-基础篇
014_浅说 XSSCSRF
weixin_30583563的博客
07-16 741
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。本文将会简单介绍 XSSCSRF 的攻防问题。 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击...
关于XSS跨站脚本攻击)和CSRF请求伪造
ankuailan3925的博客
02-10 129
我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击csrf请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和ddos,拒绝服务和分布式拒绝服务攻击。 本文主要讲述...
XSS跨站脚本攻击CSRF请求伪造
吴纯玲的博客
03-15 691
1.什么是XSS? hacker利用网页漏洞,将恶意代码植入网页中,使用户加载并执行这段恶意代码,达到攻击的目的。 2.XSS可以达到什么目的? 恶意代码通常是JavaScript,js能做什么事情就代表xss也能做什么事情。 ①获取用户cookie cookie代表用户的身份令牌,可想而知,一旦cookie被hacker获取,hacker就可以登录网,假冒用户做他想做的事情,盗取用户信息。 ②劫持流量进行恶意跳转 例如我们在网页中插入一段代码 <script> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值