浅谈xss和csrf攻击

转载 已于 2022-05-15 22:49:17 修改 · 2.5k 阅读 · 10 ·
CC 4.0 BY-SA版权
原文链接:https://www.csdn.net/tags/MtTaAgysODQ2NzQwLWJsb2cO0O0O.html#_7
文章标签:

#web安全 #前端 #javascript

于 2022-05-15 22:48:39 首次发布

文章目录

前言

由于博主目前在一家主做网络安全的公司实习,之前没有意识到网络安全的严重性,现在才感受到我们的系统存在了这么多问题,很容易被黑客攻入。下面我们一起来聊一聊最常见的两种攻击方式,xss和csrf吧!

一、XSS是什么?

XSS 全称是 Cross Site Scripting(即跨站脚本),为了和CSS区分,故叫它XSS。XSS攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并进行操作。

XSS的危害:

  • 窃取Cookie
  • 监听用户行为,比如用户登录后发送账号和密码到黑客服务器。
  • 修改 DOM 伪造登录表单
  • 在页面中添加弹窗或广告,骗取用户点击。

原因:当用户的输入或者一些用户可控参数未经处理地输出到页面上,就容易产生XSS漏洞。

XSS攻击的实现一般有三种方式——存储型(持久型)、反射型(非持久型)和dom型。原理都比较简单,让我们来看一看吧。

存储型(持久型)

存储型,顾名思义就是将恶意脚本存储了起来,确实,存储型的 XSS 将脚本存储到了服务端的数据库,然后在客户端执行这些脚本,从而达到攻击的效果。

不需要特制的链接来执行。黑客仅仅需要提交 XSS 漏洞利用代码到一个网站上其他用户可能访问的地方。常见的场景一般是:留言板、评论区等存储进数据库的操作页面。

例如:

<script>alert('我进来了')</script>

当数据库存储时,每当我打开这个网站,便会执行一次alert命令。

防范措施:

  • 前端和后端一起做数据过滤,前端可以使用axios拦截器,在发送请求前先过滤一遍数据,后端在接收时再过滤一遍。
  • 很多XSS攻击脚本都是用来窃取Cookie, 而设置Cookie的HttpOnly属性后,JavaScript 便无法读取Cookie的值。这样也能很好的防范 XSS 攻击。

注意:没有绝对的功与防,我们能做的便是把风险降到最低!

反射型(非持久型)

反射型XSS指的是恶意脚本作为网络请求的一部分。

例如:

http://csdn.com?id=<script>alert("我进来了")</script>

在服务器端会拿到id参数,然后将内容返回给浏览器端,浏览器将这些内容作为HTML的一部分解析,发现是一个脚本,直接执行,这样就被攻击了

防范:

  • 后端对接收的参数也做过滤

dom型

dom型的XSS攻击并不会经过服务端,而是作为中间人的角色,在数据传输过程劫持到网络数据包,然后修改里面的html文档。

防范:

  • 不要相信任何用户输入的数据,都要进行处理!

二、CSRF是什么?

CSRF(Cross-site request forgery), 即跨站请求伪造,指的是黑客诱导用户点击链接,打开黑客的网站,然后黑客利用用户目前的登录状态发起跨站请求。

CSRF的危害:

  • 进入页面后自动提交表单,获取用户cookies
  • 诱导用户进入页面后点击链接,完成进攻

防范:

  • 验证来源站点,HTTP Referer 字段(Referer 值会记录下用户的访问来源)
  • 在请求地址中添加token并验证

总结

以上只是对xss和csrf的简单描述哦。

没有绝对的安全!

转载自:

https://www.csdn.net/tags/MtTaAgysODQ2NzQwLWJsb2cO0O0O.html#_7

前端技能树,面试复习第 36 天—— 浏览器原理:如何预防 XSS 攻击CSRF 攻击
前端进阶之路 | 中大厂、外企、国企内推 | 面试培训 | 简历修改
07-24 428
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而**盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。...
XSS CSRF 攻击详解
AzulSystems的博客
03-03 2278
Web 安全领域中,XSS CSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击
详解XSS攻击CSRF攻击
马小兜要努力呀
07-23 784
什么是XSS攻击XSS中文名称就是跨站脚本攻击XSS的重点不在于跨站点而在于脚本的执行,那么XSS的原理是:恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中的script代码会执行,因此会达到恶意攻击用户的目的。XSS攻击分为如下几类:反射型、存储型、DOM-based型,反射型DOM-based型可以归类为非持久的XSS攻击,存储型可以归类为持久性的XSS攻击。 反射型XSS 简而言之,代码出现在url中,作为输入提交到服务器端 原理:反射型
关于两种网络攻击方式XSSCSRF
2301_81854535的博客
07-12 782
场景请求发起方携带的Cookie是否允许用户在A网站点击按钮A网站的JS代码A网站的Cookie✅ 同源请求用户在B网站触发对A的请求B网站的HTML标签A网站的Cookie⚠️ 默认允许(SameSite未限制时)B网站JS读取A网站的CookieB网站的JS代码无❌ 同源策略禁止访问简单比喻:你(用户)在邮局(A网站)办了业务,获得一个专属印章(Cookie)。后来你去商场(B网站),商场里的人偷偷在你包里塞了一封寄给邮局的信(恶意请求)。
Web前端安全问题:XSS攻击CSRF攻击、点击劫持
yinqian_Golang的博客
05-15 5604
文章目录前端有哪些攻击方式?1. XSS攻击XSS 本质原理XSS分类防御 XSS 攻击如何去检测XSS攻击,怎么知道自己的页面是否存在XSS漏洞?2. CSRF典型的CSRF攻击流程:CSRF的特点如何防范CSRF攻击?3. 点击劫持典型点击劫持攻击流程 【面试篇】寒冬求职之你必须要懂的Web安全 前端有哪些攻击方式? XSS攻击CSRF攻击、点击劫持 1. XSS攻击 XSS(Cross...
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 1913
关于XSS(跨站脚本攻击CSRF(跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dosd
安全测试(sql注入、xsscsrf
chensi16114的博客
06-19 2512
浅谈Php安全防Sql注入,防止Xss攻击,防盗链,防CSRF前言:首先,笔者不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围。但是作为一个phper对于安全知识是:“知道有这么一回事,编程时自然有所注意”。目...
同源政策/跨域与跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3365
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的urlajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
XSS攻击原理与防御原理
小晓晓晓林的博客
08-22 3653
xss又称跨站脚本攻击,原称为css(Cross-Site Scripting),因为层叠样式表(Cascading Style Sheets)重名,所以又称为xss(x一般有未知的含义,还有扩展的含义)。 XSS攻击原理 xss攻击涉及到了攻击者,用户web server。主要是利用了网站本身设计的不严谨性,攻击者通过对网页插入恶意的攻击脚本,导致当用户在浏览网页的时候,嵌入其中的攻击...
【全栈修炼】CORSCSRF修炼宝典
pingan8787
11-17 638
《全栈修炼》系列 《【全栈修炼】OAuth2修炼宝典》 CORS CSRF 太容易混淆了,看完本文,你就清楚了。 一、CORS CSRF 区别 先看下图: 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 跨站资源共享 CSRF : Cross-Site Request Forgery...
XSS攻击CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
XSS CSRF
sun_cainiao的博客
03-21 804
介绍两种最常见的针对 web 应用的攻击方式。 XSS (Cross-site scripting) 跨站脚本攻击 攻击者能够利用跨站脚本漏洞来绕过访问控制(access control),比如单源策略(same-origin policy)。 单源策略: 如果一个站点的内容有权限访问浏览器上的某些资源(比如 cookie),那么来自这个站点的所有内容都可以共享这些权限。 跨站点脚...
详解XSSCSRF
sanlyshi's front-end road
10-28 2007
https://www.cnblogs.com/zhouyyBlog/p/14505961.html
xsscsrf(详解)
qq_62046696的博客
06-30 4508
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
XSSCSRF详解与防御
weixin_34195546的博客
02-24 208
开年遇到的第一个问题就是解决XSS攻击&gt;_&lt;,可见要时刻保证网站的安全性至关重要。做好网站安全,不仅维护网站的稳定性,更保证用户数据的一致性。对此,总结一下笔者在工作中遇到的安全问题以及防御方法。 前端中常见的两种网站应用安全漏洞攻击的方式是 XSSCSRF,本文详细介绍两种攻击方式的概念、原理以及防御方式。 XSS X...
xss,csrf
张大晴的博客
10-13 1006
文章转自: csrf介绍: https://www.cnblogs.com/shytong/p/5308667.html http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html https://www.cnblogs.com/cxying93/p/6035031.html xss介绍:https://www.cnblogs...
XSS攻击CSRF攻击
最新发布
07-23
XSS(跨域脚本攻击CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们在攻击原理、目标以及实施条件上存在显著差异。 1. **攻击原理** XSS攻击是通过向网页中注入恶意脚本,使得这些脚本在用户的浏览器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值