web常见攻击手段 XSS,CSRF

最新推荐文章于 2025-01-25 15:25:40 发布
原创 最新推荐文章于 2025-01-25 15:25:40 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #xss #csrf

本文详细介绍了两种常见的Web安全攻击手段:XSS(跨站脚本)和CSRF(跨站请求伪造)。XSS攻击分为存储型、反射型及DOM注入三种形式,并给出了具体的实施案例与防御措施。CSRF则利用用户的登录状态发起恶意请求,文中也提供了相应的防范策略。

web常见攻击手段

XSS Cross Site Scripting 为了与“CSS”区分开来,故简称XSS,翻译过来就是“跨站脚本”
  1. 存储型

  ⾸先⿊客利⽤站点漏洞将⼀段恶意JavaScript代码提交到⽹站的数据库中;
    然后⽤⼾向⽹站请求包含了恶意JavaScript脚本的⻚⾯; 
    当⽤⼾浏览该⻚⾯的时候,恶意脚本就会将⽤⼾的Cookie信息等数据上传到服务器。

    eg:文章的标题输入<script>alert(1)</script> ---> 存入服务器 --->用户查看文章就会加载这个脚本

    解决方案:服务器脚本过滤

  2. 反射型
  
  首先服务端有一个接口的功能是把请求参数返回给前端页面显示(直接返回,不存储数据库)
  与存储型的区别就是是否存到数据库

  解决方案:服务器脚本过滤

  3. dom注入

  ⽐如通过⽹络劫持在⻚⾯传输过程中修改HTML⻚⾯的内容
  这种劫持类型很多,有通过WiFi路由器 劫持的,有通过本地恶意软件来劫持的,它们的共同点是在Web资源传输过程或者在⽤⼾使⽤⻚⾯的过程中 修改Web⻚⾯的数据。

  通常服务器可以将某些Cookie设置为HttpOnly标志,这样⽆法通过 document.cookie是来读取关键信息
CSRF Cross Site Request Forgery 跨站伪造请求
场景:
用户已登录A网站http://A.com-->引诱用户点击链接-->链接内通过资源地址,form表单的方式发起http://A.com/getMoney?num=200
根据同源策略,发起这个请求时会自动携带cookie信息

解决方案:
1. 利⽤好Cookie 的 SameSite 属性
    SameSite = Strict,那么浏览器会完全禁⽌第三⽅ Cookie;
    SameSite = Lax从第三⽅站点的链接打开和从第三⽅站点提交Get⽅式的表单这 两种⽅式都会携带Cookie。但如果在第三⽅站点中使⽤Post⽅法,或者通过img、iframe等标签加载的 URL,这些场景都不会携带Cookie;
    SameSite = None的话,在任何情况下都会发送Cookie;
    
2. CSRF Token
    通过程序在请求头设置一个登录凭证的字段,比如 Authorization
    Authorization 的值为在登录成功后返回的token
渗透实战-通过xss漏洞获取Authorization、Cookie等进入后台
Dreambooks的博客
08-01 1024
某次红队评估项目中实战案例,在web层存储型xss漏洞扩大成果的一种利用方式。大多数时候红队项目时间紧,任务重,会忽略一些比较低危价不大的漏洞。 知识点:使用xss漏洞获取其他鉴权字段并发送至远程服务器
XSSCSRF攻击以及预防手段
南栀的博客
03-12 5083
文章目录XSS反射型持久型DOM型XSS如何防御?CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
前端安全之XSSCSRF攻击
公众号:前端充电宝
08-02 911
目录1. 什么是XSS ?1.1 概念1.2 攻击方式1.3 危害1.4 分类2. 如何防御XSS?2.1 设置HttpOnly2.2 输入检查2.3 输出检查3. 什么是CSRF ?3.1 概念3.2 攻击方式4. 如何防御CSRF?4.1 验证码4.2 验证Referer4.3 cookie设置sameSite4.4 添加token验证 1. 什么是XSS ? 1.1 概念 XSS,即 Cross Site Script,是指跨站脚本攻击,原本缩应该为CSS,但是为了和层叠样式表(Cascading
CSRF攻击和防御
qq_45448359的博客
03-15 465
CSRF 特点和原理 CSRF:Cross Site Request Forgery,跨站请求伪造 本质是:恶意网站把正常用户作为媒介,通过模拟正常用户的操作,攻击其登录过的站点。 它的原理如下: 用户访问正常站点,登录后,获取到了正常站点的令牌,以cookie的形式保存 用户访问恶意站点,恶意站点通过某种形式去请求了正常站点(请求伪造),迫使正常用户把令牌传递到正常站点,完成攻击 防御 cookie的SameSite 现在很多浏览器都支持禁止跨域附带的cookie,只需要把cookie设置的
前端XSS攻击CSRF攻击
weixin_44823731的博客
12-25 597
1.XSS攻击 XSS攻击:(Cross Site Scripting)跨站脚本攻击。在渲染DOM树的过程中执行了不在预期内的js代码,就发生了XSS攻击攻击样例:在一些博客网站,发表一篇文章的时候,在文章中加入<script>alert('XSS攻击')</script>这种用script标签包含着的js语句。发表成功之后,当别人访问你的这篇文章的时候,就会自动执行alert('XSS攻击')这段代码。这样就属于xss攻击。更严重的,就在script标签中,获取你的cookie
前端CSRF攻击
gzkahjl的博客
06-25 378
cross site request forhy(CSRF)跨站请求攻击 案例:诱导用户打开第三网站,进行攻击,例如: <body> hello,这里什么也没有。 <script> document.write(` <form name="commentForm" target...
前端 | 浏览器安全:XSS攻击CSRF攻击、中间人攻击
最新发布
2502_90366796的博客
01-25 1305
本博客介绍了三种常见Web安全攻击XSSCSRF和中间人攻击(MITM)。 XSS攻击攻击者注入恶意脚本,窃取数据或篡改页面。 CSRF攻击:通过伪造请求执行未授权操作,防范方法包括使用随机令牌、检查Referer头部和双重认证。 中间人攻击攻击者拦截通信数据,防范方法包括使用HTTPS、VPN、证书验证和多因素认证。
常见Web安全问题及解决方案(XSS、SQL注入、CSRF攻击、Session劫持)
m0_56344834的博客
11-03 2007
​无时无刻不存在网络攻击,其中XSS攻击和SQL注入攻击是网站应用攻击的最主要的两种手段,全球大约70%的网站应用攻击都来自XSS攻击和SQL注入攻击。此外,常用的网站应用攻击还包括CSRF、Session劫持等。 常见相应的防御策略,如输入消毒、表单Token、Cookie、参数绑定等。此外,还应注意网站安全漏洞扫描和信息加密技术,以及网站安全防护中预防和及时更新防护措施的重要性。
常见前端安全问题 XSS CSRF SQL注入
Tiny2017的博客
09-30 906
已经通过被保存在用户浏览器中的cookie进行认证的用户将在完全无知的情况下发送HTTP请求到那个信任他的站点,进而进行用户不愿做的行为。XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。但增加验证码降低了用户的体验,网站不能给所有的操作都加上验证码。
Java Web应用安全防护:抵御CSRFXSS攻击的策略
08-28
随着网络攻击手段的不断演进,Web应用的安全性受到了前所未有的挑战。跨站请求伪造(CSRF)和跨站脚本(XSS)是两种常见的网络攻击方式,它们可以对用户的安全和隐私造成严重威胁。本文将详细探讨CSRFXSS攻击的...
前端知识】浅谈XSSCSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1902
前端知识】浅谈XSSCSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式。常见的浏览器攻击主要包括跨站脚本攻击XSS)、跨站点请求伪造攻击CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击CSRF攻击
前端CSRF攻击XSS攻击
Alive_tree的博客
08-07 548
1、什么是CSRF攻击 CSRF即Cross-site request forgery(跨站请求伪造),是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 假如黑客在自己的站点上放置了其他网站的外链,例如"www.weibo.com/api ,默认情况下,浏览器会带着weibo.com的cookie访问这个网址,如果用户已登录过该网站且网站没有对CSRF攻击进行防御,那么服务器就会认为是用户本人在调用此接口并执行相关操作,致使账号被劫持。 2、如何防御CSRF攻击 1、验证Tok.
第21题:前端常见攻击方法:XSSCSRF、SQL注入
小柒的前端之旅
10-09 1203
题目: 前端常见攻击方法包括:ABC A: XSS B: CSRF C: SQL注入 D: ARP攻击 解析 什么是XSS? 跨站脚本攻击(Cross Site Scripting),为了不使其与层叠样式表的缩写混淆,故跨站脚本攻击的缩写为XSS。恶意攻击者往Web页面里插入Script代码,当用户浏览该页面时,嵌入其中的Web里面的脚本代码会被执行。从而达到攻击用户的目的。(比如获取用户的Co...
前端安全之XSSCSRF,网络劫持
cxz
05-06 588
XSS(跨站脚本攻击) 存储型 XSS 攻击者将恶意代码提交到目标网站的数据库中,这种攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等 反射型 XSS 攻击者构造出特殊的 URL,其中包含恶意代码,这种攻击常见于通过 URL 传递参数的功能,如网站搜索、跳转等。由于需要用户主动打开恶意的 URL 才能生效,攻击者往往会结合多种手段诱导用户点击 DOM 型 XSS DOM 型 XSS 跟前两种 XSS 的区别:DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前
三种常见web攻击方式,xsscsrf和clickJacking
青天的博客
09-02 3219
最近看了360的前端面试题,其中涉及到了很多web安全的知识,突然意识到自己对这方面知之过少,所以花了一下午时间简单了解梳理了web安全相关的基础知识,在这里记录三种比较『纯』前端攻击方式及其相应的防御方法 一、xss跨站脚本攻击(Cross Site Scripting) 如果网站带有评论功能并将评论内容直接存到服务器中,那么显示评论的时候就可能遭到之前恶意用户恶意评论的攻击 原理主要是通过在评
前端安全XSSCSRF
qq_57334853的博客
07-29 911
XSS(Cross-site scripting)跨站脚本攻击: 用户在页面渲染数据时注入可运行的恶意脚本 目的是盗用cookie,获取敏感信息,得到更高权限
前端安全之csrfxss
weixin_45422557的博客
11-14 164
@前端安全之csrfxss 1.csrfxss的定义 XSS(跨站脚本攻击):恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。 CSRF(跨域请求伪造):CSRF 攻击攻击者借助受害者的 Cookie 骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作 如何防止csrfxss xss: 1.对用户输入
前端安全:XSSCSRF
yangyang的专栏
07-09 1238
1.概念 XSS:Cross Site Script,中译是跨站脚本攻击 CSRF:Cross-site request forgery,中文为跨站请求伪造 XSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。 CSRF是一种劫持受信任用户向服务器发送非预期请求的攻击方式。通常情况下,C...
XSSCSRF——Web安全领域常见的两种攻击方式
Concise200的博客
03-28 6619
Web安全领域,XSSCSRF是最常见攻击方式。
深入解析CSRFXSS攻击原理及Web安全防护策略
在现代Web应用开发和运维过程中,安全问题日益突出,尤其是跨站请求伪造(CSRF)和跨站脚本攻击XSS)作为两种最为常见且危害严重的网络攻击手段,已成为信息安全领域必须重点防范的对象。本文围绕这两种典型攻击的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值