Web安全XSS&CSRF

最新推荐文章于 2025-12-02 16:19:28 发布
原创 最新推荐文章于 2025-12-02 16:19:28 发布 · 588 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#XSS #CSRF #web安全

本文详细介绍了XSS(跨站脚本攻击)和CSRF(跨站请求伪造)两种常见网络安全攻击方式,包括它们的类型、原理及防御措施。通过对反射型XSS、存储型XSS和DOMXSS的区分,以及对HTMLCSRF攻击和JSONHiJacking攻击的说明,帮助读者了解如何有效防止这类攻击。

XSS

xss(Cross Site Scripting)跨站脚本攻击,发生在目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程中出现了不被预期的脚本指令并执行时,XSS就会发生

本质含义:

指攻击者通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击过程。
或者这样解释:还是一种“HTML注入”,用户的数据被当成了HTML代码的一部分来执行,从而混淆了原有的格式

XSS攻击类型

1.反射型XSS(非持久型)
发出请求时,XSS代码出现在URL中,作为输入提交到服务端,服务端解析后响应,在响应内容中出现这段XSS代码,最后浏览器解析执行。这个过程就像一次反射,所以称为反射型XSS
例如:
http://www.foo.com/xss/reflect1.php的代码如下

<?php
    echo $_GET['x'];
?>

输入x的值未经过任何过滤就直接输出,可以提交:
http://www.foo.com/xss/reflect1.php?x=<script>alert(1)</script>
服务器端解析时,echo就会完整的输出<script>alert(1)</script>到响应体中,然后浏览器解析执行触发

反射型xss是一次性的

2.存储型XSS(持久型)
存储型xss和反射型xss的差别仅在于:提交的xss代码会存储在服务端(不管是数据库,还是文件系统,内存等),下次请求目标页面时不用再提交xss代码
特点:
1. 攻击行为伴随攻击数据一直存在
2. 存储型xss的攻击是最隐蔽的
例如:
留言板xss,用户提交一条包含xss代码的留言存储到数据库,目标用户查看留言板时,那些留言的内容就会从数据库查询出来并显示,浏览器发现有xss代码就当做正常的HTML与JS执行,于是就触发了xss攻击

3.DOM XSS
DOM XSS和反射型xss存储型xss的差别在于,DOM XSS的xss代码并不需要服务器解析响应的直接参与,触发xss靠的就是浏览器的DOM解析可以认为完全是客户端的事情

常见的输入点有:

document.URL
document.URLUnencoded
document.location
document.referrer
window.location
window.name
xhrq请求回来的数据
document.cookie
表单项的值

常见的输出项:

直接输出的HTML内容,如:
document.write(...)
document.writeln(...)
document.body.innerHTML=...
直接修改DOM树(包括DHTML事件)如:
document.forms[0].action=...(以及其他集合,如:一些对象的src/href属性等)
document.attachEvent(...)
document.create(...)
document.execCommand(...)
document.body,...(直接通过body对象访问DOM)
window.attachEvent(...)

这些都是javascript的基本点,从这些输入输出可以看到,DOM XSS的处理逻辑就在客户端

XSS防御

  • Httponly,禁止javascript访问带有Httponly属性的cookie
  • 输入检查,格式检查,对特殊字符进行过滤编码
  • 输出检查,编码,转译
    原则
  • 尽可能的减少用户的可控变量在<style>标签,HTML标签、css文件
    中的输出

  • 一些危险标签过滤禁止掉,如<iframe>,<script>,<form>

    CSRF

    CSRF(Cross Site Request Forgery)跨站请求伪造

  • 跨站点的请求

  • 请求是伪造的

    本质:

    伪造合法用户身份

    CSRF类型
    1. HTML CSRF攻击
    2. JSON HiJacking攻击
      • 字典格式
      • 列表格式
    3. Flash CSRF攻击
      • 跨域获取隐私数据
      • 跨域提交数据操作

    CSRF防御

    1. 验证码
    2. referer check,referer告诉服务器从哪个链接请求过来的
    3. 在请求中添加Token,Token在客户端cookies,服务端session同时存放,再加以比较
    4. 禁止iframe的跨域请求
    5. X-Frame-option
      添加Token的
      1. 在session中绑定token
      2. 在form表单中加入token字段
      3. 在Ajax请求中自动添加token
      4. 对比服务端dession中token与post过来的是否一致
[Web安全] xss&CSRF漏洞初探
qq_42551635的博客
09-06 979
[Web安全] xss&CSRF漏洞初探 正文|xss简介 现代网站往往会包含大量的动态内容,动态内容是指web应用程序根据用户环境和需要来输出相关内容。跨站脚本攻击(cross site scripting)是一种针对网站应用程序的安全漏洞利用技术,是代码注入漏洞的一种,它使得攻击者可以通过巧妙地方法向网页中注入恶意代码,用户浏览器在加载网页、渲染html文档时就会执行攻击者的恶意代码,攻击成功后,攻击者可能得到很高的权限,获取私密网页内容、会话、cookie等敏感信息。XSS可以理解为在用户
XSS & CSRF 】泄露cookie——以DVWA-High为例
Mr_Fmnwon的博客
05-23 2274
综合利用XSS以及CSRF实现Cookie的泄露,,,旅程比较曲折跨站脚本攻击XSS(最全最细致的靶场实战)_xss靶场-优快云博客网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。
用.NET创建Windows服务
ego的专栏
09-01 1975
用.NET创建Windows服务译者说明:我是通过翻译来学习C#的,文中涉及到的有Visual Studio.NET有关操作,我都根据中文版的VS.NET显示信息来处理的,可以让大家不致有误解。作者:Mark Strawmyer 我们将研究如何创建一个作为Windows服务的应用程序。内容包含什么是Windows服务,如何创建、安装和调试它们。会用到System.ServiceProcess.
CSRF跨站伪造攻击
Neil.Liu的博客
10-24 205
0x00前言 web安全中除了XSS 还有一种最容易被忽视的攻击手段,那就是CSRF,它可以在用户无感知的情况下发起攻击,接下来我们来认识一下这种攻击手段。 0x10 跨站伪造请求 (Cross-site request forgery) 也被称为one-click attach 或者session riding,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 0x20 ...
web应用下的安全问题以及tomcat/nginx对应解决方法(持续更新、亲测可解决问题)...
weixin_34362790的博客
02-07 1097
最近一券商那边扫描反馈了下面几个非业务型安全漏洞,要求解决,如下: XSS 自己写个脚本response的时候对特殊字符进行了处理,或者网上搜下一堆(不要忘了回车、换行)。 HTML form without CSRF protection Cross-site request forgery,即跨站请求伪造,也称为 "One Click Attach" 或者"Session Riding",常缩...
docker在windows 7上连接终端(ssh)
underclound的博客
08-12 7109
windows 7下xshell连接docker
web安全————CSRF(攻击篇)
longger_lee
12-07 1048
跨站请求伪造(CSRF)      首先先来看一个实例:当用户在某个论坛上删除某篇文章时,通过抓包获取请求如下:      http://blog.sohu.com/manage/entry.do?m=delete&id=12345678。用户登录后cookie为有效状态下,服务器接受到上述请求将会当作一次更新操作执行。为了完成CSFR攻击,攻击者需要构造一个页面:http://www.a.c
Web安全XSSCSRF以及如何防范
2401_84617080的博客
06-17 487
XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。
Web安全实验课-2(xss & csrf)
ailx10
11-21 328
写在6年前,很迷茫,当时为了学习Web安全,还买了JavaScript大象书,然并卵,其实对于信息安全这么重视实战的课程,胡乱看书,其实事倍功半,比如我就走过路过一堆天坑,以后慢慢来写,一眨眼2021年都快过完了,再啰嗦一下xsscsrf 漏洞实验~还是那句老话,抓紧时间把证书考了,回答一下:cisp和cissp的区别,一个是国内,一个是国际,cisp不用考,很水,跟花钱买证没区别,工作之后,公...
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
IP协议负责网络中的路由和寻址,而TCP协议则...同时,掌握跨域、XSSCSRF的防范策略,是保障Web应用程序安全的基础。在实际开发中,应根据应用场景选择合适的连接方式,并严格实施安全措施,保护用户数据和系统安全
记一次Self XSS+CSRF组合利用
2401_89294392的博客
02-25 919
目录:确认 XSS 漏洞确认 CSRF 漏洞这个漏洞是我在应用程序的订阅表单中发现的一个 XSS 漏洞,只能通过 POST 请求进行利用。通常情况下,基于 POST 的 XSS 如果没有与 CSRF 结合来展示其影响力,那么这就是一个普通的反射型 XSS(Self XSS)。本来这不会成为一个大问题,但这个表单中实现了 Google reCAPTCHA v2。本文将探讨我是如何绕过 CAPTCHA,从而成功实现 CSRF 攻击的。
40、WEB攻防——通用漏洞&CSRF&SSRF&代码审计&同源策略&加载函数
qq_55202378的博客
01-30 868
抓取添加管理员的用户名和密码的数据包,形成html文件,并放到公网服务器上。(2)尝试在网站任何可上传地方,上传数据包文件,取得当前同域名访问地址。这个采集模块,服务器会根据你给的URL进行访问,说明存在SSRF。登录后台的状态下访问刚刚那个文件,CSRF攻击完成。,需要在html代码数据包文件中固定。文件夹,这里是用到了框架。如何对CSRF进行测试?按照之前的方法,找不到。
人工智能时代,如何打造网络安全“新范式”
Fnetlink1的博客
12-02 248
在当今信息化迅速发展的时代,5G、大数据、云计算、深度学习等新兴技术的广泛应用,带来了前所未有的网络安全挑战。人工智能技术的崛起,为网络安全领域提供了新的解决方案,尤其在威胁识别、告警分析、态势感知、风险评估、恶意检测和安全运营等关键环节中展现出独特的优势。随着技术的不断进步,利用人工智能赋能网络安全已成为业内的一种趋势。
网络安全(黑客技术)—2025自学手册
2401_84760527的博客
11-24 1529
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
企业级Web安全加速方案:一体化防护DDoS/CC/爬虫攻击
2201_76066823的博客
12-02 251
针对DDoS、CC攻击及恶意爬虫的一体化防护方案需整合多层防御策略,结合流量清洗、行为分析、智能验证等技术,确保业务高可用性与数据安全
远程桌面提权漏洞复现:原理详解+环境搭建+渗透实战(CVE-2019-0708)
mooyuan的网络安全博客
11-25 1193
本文分析了CVE-2019-0708(BlueKeep)远程桌面提权漏洞,该漏洞影响Windows旧版本系统,攻击者可通过RDP协议远程执行任意代码。文章详细介绍了漏洞原理、影响范围及防范措施,重点演示了利用Metasploit框架进行渗透测试的全过程,包括环境搭建、漏洞探测、模块配置、攻击实施及后渗透操作(创建管理员账号、远程连接等)。通过实验验证了该漏洞的严重性,强调及时打补丁和采取防护措施的重要性。
网络安全系列:社会工程学攻防技术详解
PyHaVolask的博客
12-02 841
本文系统阐述社会工程学的攻防技术,涵盖网络钓鱼网站制作、电话欺诈(Vishing)、匿名通信工具使用及个人信息侦察(OSINT)等核心攻击手段,并提供个人与企业层面的具体防御策略,强调安全意识在防范人为漏洞中的决定性作用。
科技管理部门如何借助AI+数智技术突破创新资源匮乏,以打造专业的供需精准匹配?.docx
12-02
科技管理部门如何借助AI+数智技术突破创新资源匮乏,以打造专业的供需精准匹配?
Delphi 12.3 Excel自动化与数据处理集成开发方案
最新发布
12-02
Delphi 12.3 作为一款面向 Windows 平台的集成开发环境,由 Embarcadero Technologies 负责其持续演进。该环境以 Object Pascal 语言为核心,并依托 Visual Component Library(VCL)框架,广泛应用于各类桌面软件、数据库系统及企业级解决方案的开发。在此生态中,Excel4Delphi 作为一个重要的社区开源项目,致力于搭建 Delphi 与 Microsoft Excel 之间的高效桥梁,使开发者能够在自研程序中直接调用 Excel 的文档处理、工作表管理、单元格操作及宏执行等功能。 该项目以库文件与组件包的形式提供,开发者将其集成至 Delphi 工程后,即可通过封装良好的接口实现对 Excel 的编程控制。具体功能涵盖创建与编辑工作簿、格式化单元格、批量导入导出数据,乃至执行内置公式与宏指令等高级操作。这一机制显著降低了在财务分析、报表自动生成、数据整理等场景中实现 Excel 功能集成的技术门槛,使开发者无需深入掌握 COM 编程或 Excel 底层 API 即可完成复杂任务。 使用 Excel4Delphi 需具备基础的 Delphi 编程知识,并对 Excel 对象模型有一定理解。实践中需注意不同 Excel 版本间的兼容性,并严格遵循项目文档进行环境配置与依赖部署。此外,操作过程中应遵循文件访问的最佳实践,例如确保目标文件未被独占锁定,并实施完整的异常处理机制,以防数据损毁或程序意外中断。 该项目的持续维护依赖于 Delphi 开发者社区的集体贡献,通过定期更新以适配新版开发环境与 Office 套件,并修复已发现的问题。对于需要深度融合 Excel 功能的 Delphi 应用而言,Excel4Delphi 提供了经过充分测试的可靠代码基础,使开发团队能更专注于业务逻辑与用户体验的优化,从而提升整体开发效率与软件质量。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
Web安全入门:SQL注入、XSSCSRF防范详解
"web安全概览.pptx"是一份实用的IT培训材料,针对初学者介绍了web安全领域的关键概念和技术。课程涵盖了SQL注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造)和点击劫持这四种常见的web攻击手段。 1. SQL注入:这是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值