一篇文章读懂CSRF、点击劫持和URL跳转的异同

最新推荐文章于 2024-06-24 10:54:10 发布
最新推荐文章于 2024-06-24 10:54:10 发布
阅读量819 收藏 2
点赞数
分类专栏: 渗透测试经验技巧 文章标签: csrf 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44681434/article/details/122641503
版权

写在前面

首先一起回顾一下这三种漏洞的定义
跨站请求伪造(csrf)是指利用用户已登录的身份,在用户毫不知情的情况下以用户的名义完成的操作;
点击劫持是一种视觉上的欺骗手段,在正常的网页下面还嵌套着一个透明的不可见的iframe,根据前端代码很容易调整iframe的位置与布局,用户被诱导操控正常网页,实则也触发了iframe的功能按钮;
URL跳转是指黑客将一个恶意的url链接和一个可信的url链接相结合,主要针对的是一般用户很少注意url中的参数,导致用户进入了恶意网站。

三者异同

首先说明一下这三个相同点,这三种漏洞都是用户被诱导而主动访问网页的行为,因此三者均是客户端漏洞,不同在于跨站请求伪造和点击劫持一般都是发生在用户登录后,而URL跳转是诱导用户打开恶意链接。点击劫持是两层网页,而CSRF会诱导用户向恶意网站发送数据请求包。

后续持续更新敬请期待
ultracool
关注
专栏目录
Web安全点击劫持、XSS、CSRF
javagty6778的博客
02-22 153
本文描述了各种类型的安全攻击以及减轻这些攻击。
web前端安全CSRF点击劫持
wlz555的博客
01-28 320
web前端 安全 CSRF 点击劫持
Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持点击劫持等详解,增强生产安全意识
JINGWHALE
04-22 1952
本文介绍了Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
前端安全之XSS,CSRF,网络劫持
cxz
05-06 503
XSS(跨站脚本攻击) 存储型 XSS 攻击者将恶意代码提交到目标网站的数据库中,这种攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等 反射型 XSS 攻击者构造出特殊的 URL,其中包含恶意代码,这种攻击常见于通过 URL 传递参数的功能,如网站搜索、跳转等。由于需要用户主动打开恶意的 URL 才能生效,攻击者往往会结合多种手段诱导用户点击 DOM 型 XSS DOM 型 XSS 跟前两种 XSS 的区别:DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前
网络安全 | Dos攻击,CSRF劫持
qq_42833778的博客
04-18 434
DoS介绍 DoS(Denial Of Service),拒绝服务的缩写,是指故意攻击网络协议实现的缺陷或直接通过野 蛮手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果...
前端基础知识点-每天一个基本知识点(100+个前端小知识,你是否都知道?)
m0_67394006的博客
03-02 9236
文章目录 前言 第一回合 一、知识点:cookie(21/09/06) 二、知识点:节流和防抖(21/09/07) 三、知识点:var和let以及const(21/09/08) 四:知识点:深拷贝和浅拷贝(21/09/09) 五、知识点:作用域和作用域链(21/09/10) 六、知识点:从输入URL到页面展示这中间发生了什么(21/09/11) 七、知识点:重排和重绘(21/09/12) 八、知识点:TCP和UDP(21/09/13) 九、知识点:三次握手(21/09/15) 十、知识点:绝对定位和相对定
前端犄角旮旯,非常规面试题总结(不断更新....)
最新发布
qq_51398495的博客
06-24 1050
27、判断类型的方式有哪些?1、typeof操作符:用来检测数据的类型,返回的是一个表示类型的字符串。2、instanceof操作符:用来检测对象是否为指定的构造函数的实例。3、方法:可以返回对象的准确类型。4、方法:用来判断一个变量是否为数组。(一)typeof和instanceof区别typeof返回的是一个字符串,表示变量的数据类型,可能的返回值有numberstringbooleanfunctionundefinedobject。instanceof返回的是一个布尔值,true或。
HTML5面试题
热门推荐
YaToue
04-10 1万+
HTML5面试题 一、 Doctype的作用? 严格模式和混杂模式的区分,以及如何触发这2种模式? 声明位于文档中的最前面,处于 标签之前。告知浏览器的解析器,用什么文档类型 规范来解析这个文档。 DOCTYPE不存在或格式不正确会导致文档以混杂模式呈现。 严格模式就是浏览器根据web标准去解析页面,是一种要求严格的DTD,不允许使用任何表现层的语法, 混杂模式是一种向后兼容的解析方法。 触发...
前端2020面试题195道
weijieyuhyt的博客
01-13 1万+
HTML5面试题 一、 Doctype的作用? 严格模式和混杂模式的区分,以及如何触发这2种模式? <!DOCTYPE> 声明位于文档中的最前面,处于 标签之前。告知浏览器的解析器,用什么文档类型 规范来解析这个文档。 DOCTYPE不存在或格式不正确会导致文档以混杂模式呈现。 严格模式就是浏览器根据web标准去解析页面,是一种要求严格的DTD,不允许使用任何表现层的语法, 混杂模式...
2022年最新前端面试题(大前端时代来临卷起来吧小伙子们..持续维护走到哪记到哪)
m0_55613022的博客
02-24 3247
HTML和Css部分 1、对BFC规范(块级格式化上下文)的理解 BFC 块级格式化上下文 一块独立的区域,有自己的规则,bfc中的元素与外界的元素互不影响 BFC是一块用来独立的布局环境,保护其中内部元素不受外部影响,也不影响外部。 怎么触发BFC 1. float的值left或right 2. overflow的值不为visible(默认) 3. display的值为inline-block、table-cell、table-caption 4. position的值为absolute(绝对定位)或f
XSS CSRF SQL注入 URL跳转漏洞 点击劫持 web安全
m0_37685866的博客
04-07 2316
CSRF,XSS,SQL注入,URL跳转漏洞,点击挟持等WEB安全问题
SSRF、URL跳转Bypass
Ju0se
12-05 2152
  http://google.com:80+&amp;@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&amp;@google.com:80#+@google.com:80/ http://google.com:80+&amp;@google.com:80#+@127.88.23.245:22/ http://1...
csrf问题
sun_sunny519的博客
03-13 395
csrf这个问题上纠结了好久小小记录一下目前的总结,随后再更新如果有朋友有更好的意见建议,可以留言让我学习一下csrf的实现过程:跨站请求保护的实现原理http://www.pythondoc.com/flask-wtf/csrf.html 如何伪造跨站请求它是 在客户端浏览网页,并且没有退出,在网页里有恶意的链接,而用户端在不知情的情况下,点击进入,并且携带恶意网站访问正常的网址。 如何防护...
关于HTTP协议之谈网址URL劫持的影响
深入一点你会更加快乐
10-14 606
http的重定向我们经常是张口就来,整个流程也非常简单,服务端HTTP返回码是30x,头里面的Location字段代表新的URL。如下图所示:但重定向也还是有需要深入探讨地方,返回码不仅有我们经常使用301和303还有302 307 308 它们有啥区别呢。可以按照是否缓存和重定向方法,两个维度去拆分。如果是永久重定向那么浏览器客户端就会缓存此次重定向结果,下次如果有请求则直接从缓存读取,譬如我们切换域名,将所有老域名的流量转入新域名,可以使用永久重定向。
[渗透测试笔记] 12.csrf漏洞
H4ppyD0g的博客
10-04 466
CSRFCSRF跨站点请求伪造(Cross—Site Request Forgery),是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并进行一些操作(如发邮件,发消息,甚至财产操作)。由于攻击者盗用了受害者的身份,以受害者的名义发送恶意请求,所以对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作。 一张盗图完美解释csrf攻击流程 示例(以get请求c...
了解SSRF,这一篇就足够了
qq_58000413的博客
05-23 510
转载:了解SSRF,这一篇就足够了 - 简书0x00 定义与成因 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,...https://www.jianshu.com/p/a0204e237b20看了许久,觉得作者写的非常的好,可以看看。 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情...
web 跨域问题(SOP/CORS/CSRF
zdplife的专栏
02-18 2667
同源策略 - same origin policy(SOP) 概念:两个网页同源是指这两个网页的协议,域名,端口全部相同 举例来说,http://www.example.com/dir/page.html这个网址,协议是http,域名是www.example.com,端口是80,它的同源情况如下: http://www.example.com/dir2/other.html 同源 ht...
Pikachu靶机系列之CSRF(Cross-Site Request Forgery)
来到了学渣的博客
01-12 2394
我是啊锋,一个努力的学渣,作为一个刚进入安全大门的小白,我希望能把自己所学到的东西总结出来,分享到博客上,可以一起进步,一起交流,一起学习。 本节目录: * 概述 * CSRF(get) * CSRF(post) * CSRF(token) 前文: Pikachu靶机系列之安装环境 Pikachu靶机系列之暴力破解(一) Pikachu靶机系列之暴破(二):token防爆破 Pikachu靶机...
4-2csrf案例-通过csrf进行地址修改实操
山兔的博客
07-10 349
我们看一下csrf(get)栏目,登录一下,lucy,123456这个时候,我们会看到个人信息,我们修改住址,改到武汉这个地址就改掉了,这个是敏感信息的修改,我们在后台看一下BP抓的包我们把get请求复制一下,到编辑器里面来 这个get请求实际上是向后台发送了参数,我们在提交的参数里面,并没有看到csrftoken,后台应该是没有做防csrf的措施的,同时这个也是通过get请求提交的我们把地址补全 这个就是完整的url,攻击者伪造的链接,我们可以把这个链接发送给lucy,lucy目前住址是武汉,也就是说,l
csrf和xss的异同
06-06
CSRF(Cross-Site Request Forgery)和XSS(Cross-Site Scripting)都是Web安全领域的常见攻击方式,但它们之间有一些区别。下面是它们的异同点: 1. 定义:CSRF是攻击者利用用户已经登录的身份,伪造用户的请求,向服务器发送恶意请求的一种攻击方式;而XSS是攻击者通过注入恶意脚本,使用户在浏览器中执行恶意代码的一种攻击方式。 2. 目标:CSRF的目标是通过伪造请求来冒充用户,从服务器获取用户的敏感信息或执行一些不当操作;而XSS的目标是利用用户浏览器中的漏洞,获取用户的敏感信息或执行一些不当操作。 3. 影响方式:CSRF攻击的影响是在用户不知情的情况下,对用户的账户或资金等敏感信息造成威胁;而XSS攻击的影响是在用户浏览器中执行恶意代码,导致页面被篡改或者用户的会话被劫持。 4. 防范方式:防范CSRF攻击的方式包括使用token验证、referer验证、加入验证码等;而防范XSS攻击的方式包括对用户输入进行过滤、转义,使用CSP等。 综上所述,CSRF和XSS虽然都是Web安全领域的常见攻击方式,但其目标、影响方式和防范方式各不相同。因此,在进行Web开发时,应该注意这些攻击方式,并采取相应的措施来保护用户的安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ultracool

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值