本文详细介绍了XSS、CSRF和SSRF三种常见的Web安全漏洞,包括它们的概念、分类、攻击原理及示例。XSS攻击是通过注入可执行脚本对用户造成危害;CSRF利用用户的Cookie伪造请求,可能导致数据篡改;SSRF则允许攻击者通过服务器发起攻击。针对这些漏洞,文章提供了防御措施,如设置HttpOnly、使用Token和限制URL访问等。
1.XSS
XSS(Cross Site Scripting)是跨站脚本攻击,恶意攻击者往Web页面里插入的恶意Script代码,当用户浏览该页面之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。当我们访问一个页面的时候,我们输入数据提交后,浏览器将数据发送到服务器端,再被浏览器解释呈现在我们眼前,而这个时候我们输入的数据可能就是这个页面的一部分了,一般这部分数据只是显示作用,但是攻击者就会构造一些特殊语句,让它成为可以被浏览器执行的代码,这就是xss。
- XSS 简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中。
XSS 可以分为多种类型,在总体上可以分为两类:持久型和非持久型。
持久型也就是攻击的代码被服务端写入进数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会导致大量正常访问页面的用户都受到攻击
2.CSRF
CSRF主要是在用户看不见的时候使用他们的Cookie来达到自己的目的。
这个漏洞主要依赖于浏览器的cookie是有一定时效的,只要不关闭浏览器或者退出登录,cookie都一直存在。
通常都是将目的隐藏在页面中,然后诱导用户去访问这个网站,在用户访问这个页面的时候,这个页面就会利用用户的cookie去向真正的服务器提供一些攻击者伪造的请求。这时候,如果服务器没有验证机制就可以攻击成功了。
-
CSRF 中文名为跨站请求伪造。原理就是攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发起请求。如果用户是在登录状态下的话,后端就以为是用户在操作
最低0.47元/天 解锁文章
2791
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
