本文详细介绍了XSS和CSRF两种常见的网络安全威胁。XSS攻击涉及在网页中植入恶意代码,危害包括盗取信息和非法操作,其类型有反射型、存储型和DOM型。防御措施包括数据过滤和使用HTTPOnlycookie。而CSRF攻击则利用用户身份发起恶意请求,危害如账号盗窃,防御方法包括使用POST请求、验证码和CSRFToken。
本章节将用于详细总结记录,跨站脚本攻击XSS(cross site script)与 跨站请求伪造CSRF(cross site request forgery)这两种常见的浏览器安全的攻防手段。本章节会介绍两种攻击的概念,以及相关手段有哪些,以及对应的防御手段:
- 跨站脚本攻击
XSS(cross site script) - 跨站请求伪造
CSRF(cross site request forgery)
跨站脚本攻击XSS
1、概念:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端JS脚本。
2、主要危害:盗取账号、窃取资料、非法转账、网站挂马等
3、工要攻击手段:反射型、存储型、DOM型
- 反射型:服务端返回脚本,客户端执行(一般通过URL)
- 存储型:后台存储,前端展示(一般通过发帖或评论)
- DOM型:基于DOM(流量劫持、DNS劫持)
4、主要防御手段:输入输出过滤、长度限制、cookie设置http-only
跨站请求伪造CSRF
1、概念:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
2、主要危害:盗取账号、非法转账、发送邮件消息等
3、主要攻击手段:img等标签跨域GET请求、POST自动表单提交
4、主要防御手段:尽可能使用POST方式、验证码、验证 Referer、CSRF Token
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
