详解XSS攻击与CSRF攻击

最新推荐文章于 2023-12-28 15:24:04 发布
最新推荐文章于 2023-12-28 15:24:04 发布
阅读量674 收藏 5
点赞数
分类专栏: 安全 面试经典 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43514149/article/details/107545899
版权

什么是XSS攻击?

XSS中文名称就是跨站脚本攻击。XSS的重点不在于跨站点而在于脚本的执行,那么XSS的原理是:恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中的script代码会执行,因此会达到恶意攻击用户的目的。XSS攻击分为如下几类:反射型、存储型、DOM-based型,反射型和DOM-based型可以归类为非持久的XSS攻击,存储型可以归类为持久性的XSS攻击。

反射型XSS

简而言之,代码出现在url中,作为输入提交到服务器端
原理:反射型xss一般指攻击者通过特定方式来诱惑受害者去访问一个包含恶意代码的url,当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机的浏览器上执行。

反射型xss又叫非持久性xss,为什么叫反射型是因为这种攻击方式的注入代码是从目标服务器通过错误信息,搜索结果等方式反射回来的,那为什么叫非持久呢?因为这种攻击方式只有一次

比如:攻击者通过电子邮件等方式将包含注入脚本的恶意链接发送给受害者,当受害者点击该链接的时候,注入脚本被传输到目标服务器上,然后服务器将注入脚本 "反射"到受害者的浏览器上,从而浏览器就执行了该脚本。

因此反射型xss的攻击步骤如下:

  1. 攻击者在url后面的参数中加入恶意攻击代码
  2. 当用户打开恶意代码的url的时候,网站服务器端将恶意代码从服务器端提取,拼接在html中并返回给浏览器端
  3. 用户浏览器接收到响应后执行解析,其中恶意代码就被执行
  4. 攻击者将通过恶意代码来窃取到用户数据并发送到攻击者网站,攻击者会获取到比如cookie等信息,然后使用信息来冒充用户的行为

常见的反射性XSS有哪些?
常见的是:恶意链接。

存储型XSS

存储型XSS主要是将恶意代码上传或存储到服务器中,下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码‘,简而言之,提交的代码会存储在服务器端,不用再提交XSS代码。

比如我现在做了一个博客网站,然后攻击者在上面发布了一篇文章,内容是如下:如果我没有对该文章进行任何处理的话,直接存入到数据库中,那么下一次当其他用户访问该文章的时候,服务器会从数据库中读取后然后响应给客户端,那么浏览器就会执行这段脚本,然后攻击者就会获取到用户的cookie,然后会把cookie发送到攻击者的服务器上了。

存储型XSS攻击步骤如下:

  1. 攻击者将恶意代码提交到目标网站数据库中
  2. 用户打开目标网站的时候,网站服务器将恶意代码从数据库中提取出来,然后拼接到html中返回给浏览器
  3. 用户浏览器接收响应后解析执行,那么其中的恶意代码也会被执行
  4. 那么恶意代码执行之后,就能获取到用户数据,比如上面的cookie等信息

如何防范?
后端需要对提交的数据进行过滤。
前端也可以做一下处理方式,比如对script标签,将特殊字符替换成HTML编码这些等。

DOM-based型XSS

我们客户端的js可以对页面dom节点进行动态的操作,比如插入、修改页面的内容,比如客户端从url中提取数据并且在本地执行、如果用户在客户端输入的数据包含了恶意的js脚本的话,但是这些脚本又没有做任何过滤处理的话,那么我们的应用程序就有可能受到DOM-basesXSS攻击。因此DOM型XSS的攻击步骤如下:

  1. 攻击者构造出特殊的URL、在其中可能包含恶意的代码
  2. 用户打开带有恶意代码的url
  3. 用户浏览器接收到响应后解析执行,前端使用js取出url中的恶意代码并执行
  4. 执行时,恶意代码窃取用户数据并发送到攻击者的网站中,那么攻击者网站拿到这些数据去冒充用户的行为操作。调用目标网站接口执行攻击者一些操作。

什么是CSRF?

WEB安全中经常谈到的两个东西:XSS和CSRF。
CSRF是跨站请求伪造,如果从名字你还不知道它表示什么,你可以这样理解:攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些钱请求包括发送邮件、发送信息、盗取账号、购买商品、银行转账。

要完成一次CSRF攻击受害者必须完成以下步骤:

  1. 登录受信任的网站A,并且本地生成了cookie
  2. 在不登出网站A的情况下,访问危险网站B

在这里插入图片描述
几种常见的攻击类型;
(1)GET类型的CSRF
GET类型的CSRF十分简单,只需要一个HTTP请求
(2)POST类型的CSRF
这种类型的CSRF危害没有GET的大,利用起来通常是一个自动提交的表单

防御措施:
(1)Token验证
客户端使用用户名跟密码请求登录,服务端收到请求,去验证用户名与密码,验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端,客户端提交的表单中携带该token,如果这个token不合法,那么服务器就会拒绝这个请求
(2)隐藏令牌
把token隐藏在http的head中,和方法1类似只是使用方式不同
(3)Referer验证
只接受本站的请求,服务器才做出响应

区别

在这里插入图片描述

马小兜-
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2111
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击
XSSCSRF攻击防御
热门推荐
zl的博客
08-17 1万+
一、概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF; 二、XSS 什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于...
浏览器原理--跨站脚本攻击XSS)、CSRF攻击
xuan的博客
06-07 2172
(1) XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。(2)恶意脚本都能做哪些事情(3)恶意脚本是怎么注入的1、在一个反射型 XSS 攻击过程中,恶意 JavaScript 脚本属于用户发送给网站请求中的一部分,随后网站又把恶意 JavaScript 脚本返回给用户。当恶意 JavaScript
XSS 攻击CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?
guoqkmiss的博客
05-12 1950
XSS 攻击CSRF 攻击 1、XSS 攻击 1. 概念 XSS(Cross Site Scripting):跨域脚本攻击。 2. 原理 不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js、hmtl 代码块等)。 3. 防范 编码;对于用户输入进行编码。 过滤;移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点) 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。 HttpOnly。
一、web安全(xss/csrf)简单攻击原理和防御方案(理论篇)
wuli1024的博客
12-28 1366
原理:恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。
xsscsrf(详解)
qq_62046696的博客
06-30 4128
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
XSSCSRF 攻击
gxll499294075的博客
03-21 193
一、XSS 1.1 XSS概念 XSS(Cross Site Scripting):跨域脚本攻击。 1.2 XSS攻击原理 XSS攻击的核心原理是:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 最后导致的结果可能是: 盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击 1.3 XSS攻击方式 1.3.1 反射型 发出请求时,XSS代码出现在u...
跨站攻击(XSS+CSRF).docx
最新发布
01-05
XSS攻击详解XSS(Cross Site Scripting)攻击是指攻击者通过在网页中插入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而达到窃取用户信息、操纵用户行为等目的。XSS攻击主要分为三种类型: 1. 反射型...
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
IIS攻击与日志
10-22
**IIS攻击与日志详解** IIS(Internet Information Services)是微软公司提供的一款Web服务器服务,用于托管网站和应用程序。然而,随着互联网的发展,IIS服务器也面临着各种安全威胁。了解IIS攻击以及如何通过日志...
PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRFXss、CC等)
10-26
主要介绍了PHP开发中常见的安全问题详解和解决方法,详细介绍了例如Sql注入、CSRFXss、CC等攻击手段的背景知识以及解决方法,需要的朋友可以参考下
XSS攻击CSRF攻击
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
网络攻击XSSCSRF详解
程序员世杰
02-20 2726
一、XSS (一)XSS 原理 Xss(cross-site scripting) 攻击:全称跨站脚本攻击,通过向某网站写入 js 脚本或插入恶意 html 标签来实现攻击。 比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取 cookie 中的用户私密信息; 或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。 (二...
【前端知识】浅谈XSSCSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1540
【前端知识】浅谈XSSCSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式。常见的浏览器攻击主要包括跨站脚本攻击XSS)、跨站点请求伪造攻击CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击CSRF攻击
Web XSSCSRF攻击原理浅谈
hopefullman的博客
02-20 709
作为一个即将放弃web开发的android来讲...对于朋友的疑问还是要给出解答... 本人也是参考了很多例子,总结一下感受,写出来便于大家理解。至于出处也请谅解。 跨站脚本攻击(Cross Site Script 为了区别于CSS 简称为 XSS)指的是恶意攻击者往Web页面里插入恶意js代码,当用户浏览该页之时,嵌入Web的代码会被执行,从而达到特殊目的。 因为我们完全信任了用户输入,...
面试之-理解XSSCSRF攻击原理与实践
WLANQY的博客
02-03 219
利用受害者在被攻击网站已经获取的注册凭证(cookie),一般网站都是直接根据cookie判断是否是合法登录,由于受害者的cookie已经被获取了,所以被攻击网站就会认为是合法用户。而CSRF攻击之所以能够成功,是因为服务器误把攻击者发送的请求当成了用户自己的请求。服务器通过校验请求是否携带正确的Token,来把正常的请求和攻击的请求区分开,也可以防范CSRF攻击。前面讲到CSRF的另一个特征是,攻击者无法直接窃取到用户的信息(Cookie,Header,网站内容等),仅仅是冒用Cookie中的信息。
XSSCSRF两种攻击方式总结
JunDao73的博客
02-16 5768
XSS攻击详解原理、防范与实例
XSS(Cross-site Scripting,跨站脚本攻击)是一种常见的Web安全漏洞,主要针对客户端浏览器的用户。这种攻击发生于网站设计者未能有效过滤或转义用户输入,导致恶意脚本被注入到网页中,进而影响其他访问者的浏览...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值