【网络攻击】XSS和CSRF

已于 2022-11-11 15:17:40 修改
阅读量401 收藏
点赞数
分类专栏: 计算计网络 文章标签: xss csrf
于 2022-10-31 20:01:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45919793/article/details/127622028
版权

XSS:跨站脚本攻击

用户访问被嵌入脚本的web页面,触发脚本的执行,导致用户的cookie信息被黑客获取,以用户的身份执行执行操作

这个被嵌入脚本web页面,可能是黑客的钓鱼网站,也有可能是别黑客发现漏洞植入脚本的正常服务器

防止:

  1. 过滤任何用户的提交内容,防止脚本被存储到服务器
  2. 对输出进行HTML编码,防止脚本的执行

CSRF: 跨站请求伪造

已经处于登陆状态的用户,访问黑客的链接导致,黑客直接以已经登录的用户身份,发起黑客需要的请求。

防止:

  1. 检查http首部的refer字段的值,是否是网站自身的

    优点:简单
    缺点:
    1. 不安全,refer可以通过浏览器的漏洞进行修改
    2. refer可以被禁止

  2. 通过在请求中携带额外的随机token并验证,token不通过cookie发送到服务器

    优点:比refer更安全
    缺点:实现稍微复杂,需要考虑 token的存储安全

  3. 在 HTTP 头中自定义属性并验证
    通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性

    优点:简单,token不容易泄露
    缺点:使用场景少,局限性大

smartaconf
关注
专栏目录
网络攻防之XSSCSRF
mplanning的博客
05-06 1101
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全与数据库安
XSSCSRF攻击以及预防手段
南栀的博客
03-12 4930
文章目录XSS反射型持久型DOM型XSS如何防御?CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
XSSCSRF 攻击详解
xnxqwzy的博客
05-01 442
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
XSSCSRF攻击和防御
qq_65665724的博客
07-18 977
前端安全防护是每一位开发者不容忽视的责任。通过深入理解XSSCSRF攻击原理,结合输入验证、输出编码、启用CSP、使用Anti-CSRF Tokens、配置SameSite Cookie属性和强制HTTPS等策略,我们可以有效抵御这两种常见攻击,保障用户数据安全和网站稳定性。作为博主,我将持续分享前端安全领域的知识与实践经验,助力广大开发者共建更安全的网络环境。
XSS攻击、CSRF攻击
weixin_47198976的博客
08-28 427
XSS攻击、CSRF攻击
网络攻击 XSSCSRF 攻击等
weixin_43294560的博客
12-15 2712
同源策略: 同源指的是我们访问站点的:协议、域名、端口号必须一至,才叫同源。 浏览器默认同源之间的站点是可以相互访问资源和操作DOM的,而不同源之间想要互相访问资源或者操作DOM,那就需要加一些安全策略的限制,俗称同源策略 同源策略主要限制了三个方面: DOM层面:不同源站点之间不能相互访问和操作DOM 数据层面:不能获取不同源站点的Cookie、LocalStorage、indexDB等数据 网络层面:不能通过XMLHttpRequest向不同源站点发送请求 当然同源策略限制也不是绝对隔离不同源的站点
XSSCSRF——Web安全领域常见的两种攻击方式
Concise200的博客
03-28 6377
在Web安全领域,XSSCSRF是最常见的攻击方式。
XSS,CSRF和DDoS
weixin_54218079的博客
07-31 1037
还有一个问题是一般不会只有一台网站服务器,如果请求经过负载平衡转移到了其他的服务器,但是这个服务器的session中没有保留这个token的话(Session默认存储在单机服务器内存中,因此在分布式环境下同一个用户发送的多次HTTP请求可能会先后落到不同的服务器上,导致后面发起的HTTP请求无法拿到之前的HTTP请求存储在服务器中的Session数据,从而使得Session机制在分布式环境下失效),就没有办法验证了。在这个攻击过程中,攻击者借助受害者的Cookie骗取服务器的信任,但。...
【前端知识】浅谈XSSCSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1633
【前端知识】浅谈XSSCSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式。常见的浏览器攻击主要包括跨站脚本攻击(XSS)、跨站点请求伪造攻击(CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击和CSRF攻击。
常见面试题:XSSCSRF原理及防范方法
weixin_46191445的博客
04-29 624
浏览器向服务器请求的时候被注入脚本攻击(非持久性跨站脚本攻击)攻击方法:攻击者把带有恶意脚本代码参数的URL地址发送给用户(持久性跨站脚本攻击)具有攻击性的脚本被保存到了服务器端数据库,并且可以被普通用户完整的从服务中取得并执行,从而获得了在网络上传播的能力。这种攻击类型不需要服务器端支持,是由于DOM结构修改导致的。
跨站攻击(XSS+CSRF).docx
01-05
XSS攻击详解】 XSS(Cross Site Scripting)攻击是指攻击者通过在网页中插入恶意脚本,使得用户在不知情的情况下执行这些脚本,...通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
#渗透测试#SRC漏洞挖掘#XSS跨站脚本介绍02绕过
最新发布
soc的博客
11-03 834
免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。
XSS-libs
2303_77961060的博客
10-30 483
alert(1)
XSS(Cross - Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞
huanghm88的专栏
10-31 1081
XSS(Cross - Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,以下是对它的详细介绍:&"'
#渗透测试#SRC漏洞挖掘#XSS跨站脚本介绍01
soc的博客
11-03 638
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的XSS是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
XSS小游戏【1-13关】
XiaoYeZhu_1314的博客
10-30 540
第一关 Payload:<script>alert(1)</script> 第二关 Payload:keyword=<script>alert(1)</script> 发现没有成功,F12发现需要闭合input 标签 再次输入payload:aaa"><svg onload=alert(1)> //当这个输入被插入到网页中时,浏览器会将其解析为HTML代码,并执行其中的JavaScript代码 第三
深入解析哈尔滨二级等保下的XSS跨站脚本攻击及其防御策略
weixin_62641226的博客
11-01 479
XSS跨站脚本攻击是一种严重的网络安全威胁,尤其在信息系统安全等级保护的背景下,防范此类攻击显得尤为重要。通过对输入进行严格验证、输出进行编码、使用安全标志、实施内容安全策略以及定期进行安全审计等措施,可以有效降低XSS攻击的风险。同时,提升用户的安全意识也是防范攻击的重要环节。只有综合运用多种防御策略,才能在复杂的网络环境中保障信息系统的安全。
-XSS-
qq_75005708的博客
10-30 423
链接搭建过程非常容易的搭建好之后,就可以点击图片开始闯关了。
Web安全实验:跨站攻击(XSS+CSRF)原理与实战
"本次实验主要关注的是Web安全中的两种重要攻击方式:跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。实验旨在让参与者深入理解这两种攻击的原理,掌握不同级别的攻击实施,并了解相应的防御和修复措施。实验环境为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值