本文详细介绍了两种常见的Web安全威胁:XSS跨站脚本攻击与CSRF跨站请求伪造攻击。XSS攻击分为反射型、存储型及DOM型等,通过恶意注入代码危害用户隐私;CSRF则通过盗用用户身份执行恶意请求,威胁个人隐私和财产安全。
个人博客项目&输入输出类&留言板&访问IP&UA头&来源
1、PHP-全局变量$_SERVER:[补完基础我回来解释,暂时不是很明白】
2、MYSQL-插入语法INSERT【补完基础回来解释,暂时不是很清楚】
3、输入输出-XSS&反射&存储
4、安全问题-XSS跨站&CSRF等
xss:跨站脚本
其攻击是指利用网页开发者留下的漏洞,
通过巧妙的方法注入恶意指令代码到网页使用户加载并执行攻击者恶意制造的网页程序。
这些恶意网页程序通常是JavaScript,
但实际上也可以包括Java、 VBScript、 LiveScript、ActiveX、 Flash 或者甚至是普通的HTML。
攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、
私密网页内容、会话和cookie等各种内容。
xss分类:反射型(非持久型)XSS、存储型(持久型)XSS、
DOM型XSS、通用型XSS、突变型XSS。
反射型:黑客发送带有xss恶意脚本的链接,用户点击恶意链接,访问目标服务器,网站将xss同正常页面返回到用户浏览器,用户浏览器解析网页中的恶意代码,发起恶意请求到恶意服务器,
黑客从恶意服务器种得知自己所需要的,攻击完成
存储型XSS
存储型(或 HTML 注入型/持久型)XSS 攻击最常发生在由社区内容驱动的网站或 Web 邮件网站,不需要特制的链接来执行。黑客仅仅需要提交 XSS 漏洞利用代码(反射型XSS通常只在url中)到一个网站上其他用户可能访问的地方。这些地区可能是博客评论,用户评论,留言板,聊天室,HTML 电子邮件,wikis,和其他的许多地方。一旦用户访问受感染的页,执行是自动的。
漏洞成因
存储型XSS漏洞的成因与反射型的根源类似,不同的是恶意代码会被保存在服务器中,
导致其它用户(前端)和管理员(前后端)在访问资源时执行了恶意代码,用户访问服务器-跨站链接-返回跨站代码。
科普文章:https://blog.youkuaiyun.com/qq_33929420/article/details/112003122?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522167055432616782429736011%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=167055432616782429736011&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2alltop_positive~default-1-112003122-null-null.142v68control,201v4add_ask,213v2t3_esquery_v3&utm_term=XSS&spm=1018.2226.3001.4187
CSRF:跨站请求伪造
攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,
甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。
【个人理解就是偷家】
相关补充:https://blog.youkuaiyun.com/qq_45803593/article/details/124727762?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522167057255316782425115884%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=167057255316782425115884&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2alltop_positive~default-1-124727762-null-null.142v68control,201v4add_ask,213v2t3_esquery_v3&utm_term=CSRF&spm=1018.2226.3001.4187
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
