【网络攻击】XSS和CSRF

已于 2022-11-11 15:17:40 修改
阅读量367 收藏
点赞数
分类专栏: 计算计网络 文章标签: xss csrf
于 2022-10-31 20:01:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45919793/article/details/127622028
版权

XSS:跨站脚本攻击

用户访问被嵌入脚本的web页面,触发脚本的执行,导致用户的cookie信息被黑客获取,以用户的身份执行执行操作

这个被嵌入脚本web页面,可能是黑客的钓鱼网站,也有可能是别黑客发现漏洞植入脚本的正常服务器

防止:

  1. 过滤任何用户的提交内容,防止脚本被存储到服务器
  2. 对输出进行HTML编码,防止脚本的执行

CSRF: 跨站请求伪造

已经处于登陆状态的用户,访问黑客的链接导致,黑客直接以已经登录的用户身份,发起黑客需要的请求。

防止:

  1. 检查http首部的refer字段的值,是否是网站自身的

    优点:简单
    缺点:
    1. 不安全,refer可以通过浏览器的漏洞进行修改
    2. refer可以被禁止

  2. 通过在请求中携带额外的随机token并验证,token不通过cookie发送到服务器

    优点:比refer更安全
    缺点:实现稍微复杂,需要考虑 token的存储安全

  3. 在 HTTP 头中自定义属性并验证
    通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性

    优点:简单,token不容易泄露
    缺点:使用场景少,局限性大

smartaconf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSSCSRF 攻击详解
wangluoanquan111的博客
03-01 1091
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。===XSS,即 Cross Site Script,中译是跨站脚本攻击。其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。
XSS攻击、CSRF攻击
weixin_47198976的博客
08-28 375
XSS攻击、CSRF攻击
XSS,CSRF和DDoS
weixin_54218079的博客
07-31 926
还有一个问题是一般不会只有一台网站服务器,如果请求经过负载平衡转移到了其他的服务器,但是这个服务器的session中没有保留这个token的话(Session默认存储在单机服务器内存中,因此在分布式环境下同一个用户发送的多次HTTP请求可能会先后落到不同的服务器上,导致后面发起的HTTP请求无法拿到之前的HTTP请求存储在服务器中的Session数据,从而使得Session机制在分布式环境下失效),就没有办法验证了。在这个攻击过程中,攻击者借助受害者的Cookie骗取服务器的信任,但。...
【前端知识】浅谈XSSCSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1510
【前端知识】浅谈XSSCSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式。常见的浏览器攻击主要包括跨站脚本攻击(XSS)、跨站点请求伪造攻击(CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击和CSRF攻击。
XSSCSRF——Web安全领域常见的两种攻击方式
Concise200的博客
03-28 6156
在Web安全领域,XSSCSRF是最常见的攻击方式。
网络攻防之XSSCSRF
mplanning的博客
05-06 1042
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全与数据库安
XSSCSRF攻击以及预防手段
南栀的博客
03-12 4856
文章目录XSS反射型持久型DOM型XSS如何防御?CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
浅谈xsscsrf攻击
hhhhhhhssss的博客
07-18 403
文章目录前言一、XSS是什么?二、使用步骤1.引入库2.读入数据总结 前言 由于博主目前在一家主做网络安全的公司实习,之前没有意识到网络安全的严重性,现在才感受到我们的系统存在了这么多问题。下面我们一起来聊一聊最常见的两种攻击方式,xsscsrf吧! 一、XSS是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import mat
XSS,CSRF攻击及预防
Jiangtagong的博客
08-24 760
一、XSS 1、定义 XSS即(Cross Site Scripting)中文名称为:跨站脚本攻击; 比如在有表单输入的地方,用户输入了类似<script>alert("ok")</script>的东西,而服务器没有经过过滤就保存下来了,别的用户看到网页就会弹出提示框。当然,xss攻击还可以做其他更加复杂的事情。比如,获取cookie什么的。 XSS的重点不是在跨站点,而在于脚本的执行。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意...
跨站攻击(XSS+CSRF).docx
01-05
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
常见的网络安全攻击和防御方法解析
09-22
包括sql注入、DDos攻击、XSSCSRF等的攻击原理和防御方法。
前端安全:如何防止CSRF攻击?
02-24
在移动互联网时代,前端人员除了传统的XSSCSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
Pikachu靶场--XSS
qq_65150735的博客
06-17 960
Pikachu靶场--XSS跨站脚本
xss+csrf项目实例
qq_64302290的博客
06-16 487
如下:我们是在一个类似文章管理系统的网站上面发现的该漏洞。我们将其运行在本地的phpstudy集成环境上面。源码地址下载链接:https://pan.baidu.com/s/1MpnSAq7a_oOcGh4XgPE-2w提取码:4444。
XSS跨站脚本攻击
q
06-18 548
使用网站上的本身有的swf文件进行反编译,常见的可触发xss的危险函数有:getURL,navigateToURL,ExternalInterface.call,htmlText,loadMovie等等。持续化的XSS攻击方式,将恶意代码存储于服务器,当其他用户再次访问时触发,造成XSS攻击。页面本身没有变化,但由于DOM环境被恶意修改,有客户端代码被包含进了页面并执行。通过修改原始的客户端代码,受害者浏览器的DOM环境改变,导致有效载荷的执行。使用pdf编辑器,打开属性,添加动作,选择执行js语句。
xss-lab靶场的level15-level20
qq_64775230的博客
06-17 85
点我进入下一关
XSS跨站脚本攻击对网站有哪些危害
最新发布
weixin_68778384的博客
06-19 431
XSS跨站脚本攻击是一种典型的Web程序漏洞利用攻击。攻击者利用Web程序对用户输入检查不足的漏洞,将可执行恶意脚本注入网站或Web应用。当用户访问这些被注入恶意脚本的网页时,恶意脚本会在用户的浏览器中执行,从而达到窃取用户个人数据、弹出广告、篡改网页内容等攻击目的。为了防范XSS跨站脚本攻击,网站开发者需要采取一系列的安全措施,如对用户输入进行严格的验证和过滤、设置安全的HTTP响应头部、使用安全的编码实践等。同时,定期更新和打补丁也是防止新发现的安全漏洞被利用的重要手段。
xsscsrf的区别
07-20
XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们的目标和实现方式不同。 XSS攻击主要针对的是网页应用中存在的漏洞,攻击者通过注入恶意的脚本代码到网页中,使得用户在浏览网页时执行该恶意代码,从而达到攻击的目的。XSS攻击可以分为存储型、反射型和DOM型三种形式。存储型XSS攻击是将恶意代码存储到服务器端,当用户访问包含恶意代码的页面时,恶意代码会从服务器端获取并执行;反射型XSS攻击是将恶意代码作为URL参数或表单提交到服务器端,服务器端将恶意代码返回给浏览器并执行;DOM型XSS攻击则是通过修改网页的DOM结构来实现攻击。 CSRF攻击则是利用用户已经登录认证的状态下,诱使用户点击恶意链接或访问恶意网页,从而触发已登录用户的操作。攻击者通过伪造请求,使用户在不知情的情况下执行了非自愿的操作。例如,攻击者可以通过发送包含恶意请求的图片链接或者钓鱼网站来实施CSRF攻击。CSRF攻击的关键在于利用了用户的身份认证信息。 综上所述,XSSCSRF的主要区别在于攻击的目标和实现方式。XSS攻击主要针对网页应用中的漏洞,注入恶意脚本代码;而CSRF攻击则利用用户已登录认证的状态下,伪造请求进行非自愿的操作。为了防范这两种攻击,开发者需要在编写代码时注意输入验证、输出编码以及限制权限等安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值