首页 > 其他分享 >xss和csrf

xss和csrf

时间:2022-11-17 12:13:52浏览次数:39  
标签:xss 请求 网站 用户 访问 csrf 伪造

1 XSS攻击(跨站脚本攻击 Cross Site Scripting)
XSS指攻击者添加代码嵌入到页面中,使用户访问时都会执行相应的嵌入代码,从而盗取用户资料、利用用户身份进行一系列侵害操作。(利用虚假输入表单骗取用户个人信息盗取账号等)

解决办法:客户端提交的数据先进行相应的过滤处理后再进行下一步的操作。

最常见 xss 攻击是读取 Cookie(来访问用户的账号)

防御: httpOnly (在服务端文件设置: cookie 中设置 HttpOnly 属性后,js脚本将无法读取到 cookie 信息)

2 CSRF(跨站请求伪造 Cross-site request forgery)
冒充用户发起请求,完成一些违背用户意愿的事情(如删初评论,转账等等)。
原理就是攻击者伪造请求并诱导用户点击,然后将伪造的请求和用户身份认证信息发送到后端。如果用户是在登录状态下的话,后端就以为是用户在操作,从而进行相应的逻辑处理。

完成一次CSRF攻击,受害者必须依次完成两个步骤:
1 登录受信任的网站,并生成Cookie
2 在不登出信任网站的情况下,访问危险网站

防御
(1)不让第三方网站访问Cookie,阻止第三方网站请求接口
(2)请求时附带验证信息(比如验证码或者Token)

标签:xss,请求,网站,用户,访问,csrf,伪造
From: https://www.cnblogs.com/qianduan-Wu/p/16899028.html

相关文章

  • 开发者工具less编辑wxss 遇到坑
    开放工具太老,软件需要更新。去官网上更新稳定版本,并在开发者工具中本地基础库选择对应版本。开发者工具只是一个展示工具,建议在vscode中进行专业的编辑。因为在开发......
  • Pikachu-Cross-Site Scripting(XSS)
    反射型xss(get)先尝试最简单的payload,发现不能输入了,查看html代码定位到这个输入框发现最大长度只能输入20直接通过修改html源代码,将payload输入完毕,完成漏洞反射性x......
  • Pikachu-CSRF
    此处不演示生成csrf.html,通过burp抓包可以生成get首先我们登录一个账户,账户名和密码可用点击提示查看,这里我使用lucy123456进行登录点击修改个人信息,打开fiddler或浏......
  • CSRF 漏洞 +SSRF漏洞
    一、CSRF1、原理: 该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。【利用......
  • 学习笔记-java代码审计-xss
    java代码审计-xss0x01漏洞挖掘protectedvoiddoGet(HttpServletRequestrequest,HttpServletResponseresponse)throwsIOException,ServletException{respon......
  • XSS/CSRF
    这两个是web应用中常见的web攻击形式。xss:cross-sitescript,指的是在网页上植入恶意代码的攻击。常见的比如sql注入,来盗取用户cookie信息;csrf:cross-site-request-forgery,指......
  • 蓝莲花xss平台搭建
    对于docker不是很熟悉,所以直接在本地搭建了这个xss平台环境:phpstudy在phpstudy的www目录下右键打开gitbash下载蓝莲花xss然后打开phpstudy打开浏览器访问http://12......
  • django跨站请求伪造csrf
    一、简介跨站点脚本(XSS)漏洞是指攻击者可以将脚本注入到你的服务器发送的页面中。浏览器将这些注入的脚本视为页面中的任何其他脚本。例如,如果http://www.yoursite.co......
  • xss.haozi.me通关攻略
    测试浏览器:火狐浏览器0x00<script>alert(1)</script>0x01</textarea><script>alert(1)</script><textarea>0x02"><script>alert(1)</script>0x03题目过滤括号,可......
  • 什么是wxss ?
    是一套样式语言,类似于网页开发中的css ,用于美化网页; wxss与css区别1、wxss新增了rpx尺寸单位css中需要手动进行单位换算,如remwxss中的rpx会自动进行单位......