xss 和 csrf

最新推荐文章于 2024-04-29 17:02:19 发布
最新推荐文章于 2024-04-29 17:02:19 发布
阅读量163 收藏
点赞数
分类专栏: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49298265/article/details/119722680
版权

一、XSS

1.原理

恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

2.分类
2.1反射性

image-20210715193225895

①步骤
  1. 攻击者构造出特殊的 URL,其中包含恶意代码。
  2. 用户打开带有恶意代码的 URL 时,网站服务端将恶意代码从 URL 中取出,拼接在 HTML 中返回给浏览器。
  3. 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
  4. 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
②特点

反射型XSS:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。

反射型XSS大多数是用来盗取用户的Cookie信息。

2.2存储型

image-20210715193237991

①步骤
  1. 攻击者将恶意代码提交到目标网站的数据库中。
  2. 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。
  3. 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
  4. 恶意代码窃取用户数据并发送到攻击者的网站。
②特点

存储型XSS:持久化,代码是存储在服务器中的。

如在论坛发帖、商品评论、发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie。

2.3DOM型
①步骤
  1. 攻击者构造出特殊的 URL,其中包含恶意代码。
  2. 用户打开带有恶意代码的 URL。
  3. 用户浏览器接收到响应后解析执行,前端 JavaScript 取出 URL 中的恶意代码并执行。
  4. 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
②特点

DOM 型 XSS 跟前两种 XSS 的区别:DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前端 JavaScript 自身的安全漏洞,而其他两种 XSS 都属于服务端的安全漏洞。

3.预防
3.1执行条件
  1. 攻击者提交恶意代码。
  2. 浏览器执行恶意代码。
3.2方法

①对用户的输入(和URL参数)进行过滤,对输出进行html编码,使其不能作为脚本运行。

②服务端设置会话Cookie的HTTP Only属性,客户端的JS脚本就不能获取Cookie信息。

二、CSRF

1.原理

攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。

跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任

2.流程
  • 受害者登录a.com,并保留了登录凭证(Cookie)。
  • 攻击者引诱受害者访问了b.com。
  • b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
  • a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
  • a.com以受害者的名义执行了act=xx。
  • 攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让a.com执行了自己定义的操作。
3.防护策略
3.1特点

CSRF通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对CSRF的防护能力来提升安全性。

  • CSRF(通常)发生在第三方域名。
  • CSRF攻击者不能获取到Cookie等信息,只是使用。
3.2方法

验证 HTTP Referer 字段

在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。如果 Referer 是其他网站的话,则有可能是黑客的 CSRF 攻击,拒绝该请求。

②添加 token 并验证

CSRF攻击之所以能够成功,是因为服务器误把攻击者发送的请求当成了用户自己的请求。那么我们可以要求所有的用户请求都携带一个CSRF攻击者无法获取到的Token。服务器通过校验请求是否携带正确的Token,来把正常的请求和攻击的请求区分开,也可以防范CSRF的攻击。

  • 将CSRF Token输出到页面中

首先,用户打开页面的时候,服务器需要给这个用户生成一个Token,存在服务器的Session中。之后在每次页面加载时,所有的a和form标签后加入Token。

  • 页面提交的请求携带这个Token

对于GET请求,Token将附在请求地址之后,这样URL 就变成 http://url?csrftoken=tokenvalue。 而对于 POST 请求来说,要在 form 的最后加上:

  <input type=”hidden” name=”csrftoken” value=”tokenvalue”/>

这样,就把Token以参数的形式加入请求了。

  • 服务器验证Token是否正确

当用户从客户端得到了Token,再次提交给服务器的时候,服务器需要判断Token的有效性,验证过程是先解密Token,对比加密字符串以及时间戳,如果加密字符串一致且时间未过期,那么这个Token就是有效的。

Samesite Cookie属性

属性作用
Samesite=Strict这种称为严格模式,表明这个 Cookie 在任何情况下都不可能作为第三方 Cookie,绝无例外。
Samesite=LaxCookies允许与顶级导航一起发送,并将与第三方网站发起的GET请求一起发送。这是浏览器中的默认值。
Samesite=NoneCookie将在所有上下文中发送,即允许跨域发送。
husb-052
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
router_xss_csrf:具有XSSCSRF的安全路由器
03-05
具有XSSCSRF的安全路由器 下载文件“ .htaccess”,并将其放置在应用程序的根目录下。 通常,这是一个名为“ htdocs”或“ www”的文件夹。 下载文件“ router.php”,并将其放置在应用程序的根目录下。 通常,...
xss漏洞简单链接
qq_62046696的博客
04-24 957
cookie是在http协议下,可以包含有关用户信息 1.存在反射型xss漏洞,可以利用以下链接来盗取cookie 正在上传…重新上传取消 复制url 打开phpstudy 根目录 www xss(Reflected),输入=号右边的 进行重定向,然后cookie.txt已经被写入 2.利用cookie进行会话劫持 burp 抓包,修改cookie的值为反射Xss盗取cookie的zhi 3.建立一个 <?php @eval($_POST['chopper'];?> php文..
XSSCSRF总结
weixin_50339832的博客
06-06 305
学完xsscsrf之后,感觉二者极其容易混淆,所以这里做一个总结和区分。 网上看了一些解释发现五花八门,看的我云里雾里了,最后看了官方文档才xue'ming'b
浅谈xsscsrf攻击
半路出家的码农小王
05-15 2491
文章目录 前言 一、XSS是什么? 存储型(持久型) 反射型(非持久型) dom型 二、CSRF是什么? 总结 前言 由于博主目前在一家主做网络安全的公司实习,之前没有意识到网络安全的严重性,现在才感受到我们的系统存在了这么多问题,很容易被黑客攻入。下面我们一起来聊一聊最常见的两种攻击方式,xsscsrf吧! 一、XSS是什么? XSS 全称是 Cross Site Scripting(即跨站脚本),为了和CSS区分,故叫它XSSXSS攻击是指浏览器执行恶意脚本(无论是
014_浅说 XSSCSRF
weixin_30583563的博客
07-16 737
在 Web 安全领域XSSCSRF 是最常见的攻击方式。本文将会简单介绍 XSSCSRF 的攻防问题。 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Site Script,译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击...
XSSCSRF 攻击详解
wangluoanquan111的博客
03-01 1271
在 Web 安全领域XSSCSRF 是最常见的攻击方式。===XSS,即 Cross Site Script,译是跨站脚本攻击。其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。
php xsscsrf,简析XSSCSRF 两种跨站攻击
weixin_36081677的博客
03-22 268
XSS:跨站脚本攻击,注入攻击的一种。攻击者利用应用程序的动态展示功能,在HTML页面嵌入恶意代码。当用户浏览该页时,这些嵌入在html的恶意代码就会被执行,用户浏览器被攻击者控制。。。。1.盗取用户cookie,伪造用户身份2.控制用户浏览器3.结合浏览器及其插件漏洞,下载病毒木马到浏览者的计算机运行4.衍生URL跳转漏洞5.官网挂钓鱼网站6.蠕虫攻击CSRF:跨站请求伪造(冒充用户之手,伪造...
常见面试题:XSSCSRF原理及防范方法
weixin_46191445的博客
04-29 590
浏览器向服务器请求的时候被注入脚本攻击(非持久性跨站脚本攻击)攻击方法:攻击者把带有恶意脚本代码参数的URL地址发送给用户(持久性跨站脚本攻击)具有攻击性的脚本被保存到了服务器端数据库,并且可以被普通用户完整的从服务取得并执行,从而获得了在网络上传播的能力。这种攻击类型不需要服务器端支持,是由于DOM结构修改导致的。
XSSCSRF
qq_43555156的博客
08-20 140
XSSCSRF一、XSS1.定义二、使用步骤1.引入库2.读入数据总结 一、XSS 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 1.定义 XSS的英语全称是Cross-Site Scripting(跨站脚本攻击),因为和CSS同名,为了做出区别,改称为XSS. 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import
XSSCSRF区别和预防方法(图文结合)
weixin_46015250的博客
05-15 432
xsscsrf 参考: 浅说 XSSCSRF · Issue #68 · dwqs/blog (github.com) 前端安全系列之二:如何防止CSRF攻击? - 掘金 (juejin.cn) xss: 跨站脚本攻击.攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等 攻击方式: 反射型:用户访问恶意链接,服务器端接收数据后处理,然后把带有恶意代码的数据发送到浏览器端,浏览器端解析这段带有 XSS 代码的数据后当做脚本执行,获取用户的个人信息。最
xsscsrf(详解)
qq_62046696的博客
06-30 4183
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url输入、在评论框输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
TokenBasedSafe:一个展示针对XSSCSRF攻击的防护的网站
04-29
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的Reactjs... 该网站用于演示针对XSSCSRF攻击的防护
跨站攻击(XSS+CSRF).docx
01-05
总结来说,XSSCSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
Uniapp软件库全新带勋章功能/包含前后端源码
08-14
Uniapp软件库全新带勋章功能,搭建好后台 在前端找到 util 这个文件 把两个js文件上面的填上自己的域名,电脑需要下载:HBuilderX 登录账号 没有账号就注册账号,然后上传文件,打包选择 “发行” 可以打包app h5等等。 后端安装: 1、下载源码到服务器目录 2、设置运行目录为 public 3、配置伪静态 4、修改数据库账号密码config/database.php点击导入, 5、访问域名即可
【独家首发】基于矮猫鼬优化算法DMOA-GMDH的锂电池寿命SOC估计算法研究Matlab实现.rar
最新发布
08-14
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
基于Android五子棋设计与实现.docx
08-14
基于Android五子棋设计与实现.docx
MultiVideoDemo.rar
08-14
MultiVideoDemo.rar 博客地址:https://lw112190.blog.csdn.net/article/details/141200926
xsscsrf的区别
07-20
XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们的目标和实现方式不同。 XSS攻击主要针对的是网页应用存在的漏洞,攻击者通过注入恶意的脚本代码到网页,使得用户在浏览网页时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值