首页 > 其他分享 >Xss攻击和csrf攻击

Xss攻击和csrf攻击

时间:2023-04-26 13:55:08浏览次数:41  
标签:Xss 请求 攻击 用户 访问 csrf 网站

xss (Cross Site Scripting)跨站脚本攻击

发生在输入框、浏览器地址栏等输入域中,攻击者通过这些地址,向用户的可能访问的页面植入一些可执行的脚本。

  • 等用户打开页面的时候,脚本会自动执行,获取用户的信息,比如cookie。
  • 或者自动修改被访问的页面结构,隐式的提客户端发起一些请求。
  • 或者自动弹出一些界面诱惑客户点击。让客户访问具备攻击性的地址。

xss 防御

  • 服务端对客户的输入需要进行过滤,比如浏览器的标签,js代码,sql 等等
  • 服务端设置 httpOnly 为true,可以禁止客户浏览器访问当前的cookie。

csrf攻击 跨站请求伪造

一般实在用户登录了某网站 A 之后,访问了一些具有攻击性的网站B。如果网站A 存在csrf漏洞,那么 网站B
可能会以用户的名义 向网站A 发起一条请求,在用户不知情的情况下, 修改了用户的关键信息。

csrf防御

  • 请求中校验Refer
  • 请求中增加token,并校验
  • 请求中增加自定义属性并验证
  • 增加验证码机制,提示用户即将进行的操作

标签:Xss,请求,攻击,用户,访问,csrf,网站
From: https://www.cnblogs.com/wenshichen/p/17355688.html

相关文章

  • 王者荣耀赵怀真英雄技能中的英语单词-four 四次蓄力攻击,repel 击退敌人,counterattack
    我一般作为上单和打野,比较需要操作和时机的掌握气随心动怀真依次打出掌、拳、肘、靠之劲四种普攻。掌劲起手,造成一次10(+50%物理攻击)物理伤害,对野怪造成1.5倍伤害。满精力时此招位移距离提升。满精力时怀真将突进至敌人身边。拳劲快速击打造成2次20(+50%物理攻击)物理伤害。肘......
  • 了解一下XSS
    XSS,即跨站脚本攻击(Cross-SiteScripting),是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本代码,使得浏览器执行这些脚本,从而控制网页上的内容或者获取用户的敏感信息。XSS攻击一般分为反射型、存储型和DOM型三种类型。1.反射型XSS攻击反射型XSS攻击是指攻击......
  • Typecho<=1.2.0 存储型XSS 复现
    Typecho<=1.2.0存储型XSS影响版本漏洞影响版本:Typecho<=1.2.0漏洞复现cookie.js//定义一个全局变量website,值为一个具体的网址varwebsite="http://xss.xxxx.com";//声明并立即执行一个匿名函数(function(){//创建Image对象,并给它的src属性赋值为websi......
  • 自定义权限校验方法、基于配置的权限控制、CSRF
    自定义权限校验方法我们也可以定义自己的权限校验方法。在@PreAuthorize注解中使用我们的方法。创建expression包,在该包下创建SGEexpression类@Component("ex")publicclassSGEexpression{publicbooleanhasAuthority(Stringauthority){//获取当前用户......
  • 服务器遭受攻击之后的常见思路
    哈喽大家好,我是咸鱼 不知道大家有没有看过这么一部电影: 这部电影讲述了男主是一个电脑极客,在计算机方面有着不可思议的天赋,男主所在的黑客组织凭借着超高的黑客技术去入侵各种国家机构的系统,并引起了德国秘密警察组织、欧洲刑警组织的重视 刚开始看的时候以为是一部讲述......
  • 计算机系统基础实验:缓冲区溢出攻击
    实验目的加深对IA-32函数调用规则和栈帧结构的理解了解关于内存溢出攻击的原理,并通过5个level关卡的实验对堆栈有进一步理解通过模拟缓冲区溢出攻击,了解如何去进行栈保护了解程序的运行时操作以及了解这种形式的安全性弱点的性质,以便编写系统代码时可以避免这种情......
  • web(XSS,CSRF,点击劫持,URL跳转)
    搜索被黑网站:关键字:Hackedby搜索引擎语法:Intitle:keyword标题中含有关键词的网页Intext:keyword正文中含有关键词的网页Site:domain在某个域名和子域名下的网页XSS全称:CrossSiteScript               中文名称:跨站脚本危害:盗取用户信息、钓鱼、......
  • dvwa存储型xss
    1、低级别查看服务端提示代码,直接返回未做处理。<script>alert(/xss/)</script>2、中级别查看服务端提示代码,使用htmlspecialchars函数对参数message进行实体编码,使用str_replace函数对参数name进行替代<script>为”。解决:从name参数着手,使用script大小写混杂或者其他标签......
  • DVWA CSRF
    1、低级别csrf,get的url形式,参数在url中可以基于短链接触发2、中级别基于string函数,判断host值出现在referer字段中referer是http协议字段,在file协议中不存在3、高级别需要与xss结合4、不可能级别......
  • 谷歌TAG警告说俄罗斯黑客在乌克兰进行网络钓鱼攻击
    与俄罗斯军事情报机构有关的精英黑客与针对乌克兰数百名用户的大批量网络钓鱼活动有关,以提取情报并影响与战争有关的公共言论。谷歌的威胁分析小组(TAG)正在监测这个名为FROZENLAKE的行为者的活动,该小组表示,这些攻击继续"该小组2022年的重点是针对东欧的网络邮件用户"。这个国家支持......