一、web安全(xss/csrf)简单攻击原理和防御方案(理论篇)

原创 已于 2024-01-05 15:50:22 修改 · 2k 阅读 · 24
标签
#web安全 #xss #csrf #网络 #计算机网络
#网络攻击 #网络安全
于 2023-12-28 15:24:04 首次发布
一、XSS(Cross-Site Scripting) 跨站脚本攻击

原理:恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

1.非持久型 XSS(反射型 XSS )

▼防御策略

  • 1. Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。
  • 2. 尽量不要从 URL,document.referrer,document.forms 等这种 DOM API 中获取数据直接渲染
  • 3. 尽量不要使用 eval, new Function(),document.write(),document.writeln(),window.setInterval(),window.setTimeout(),innerHTML,document.createElement() 等可执行字符串的方法。
  • 4. 过滤不必要的HTML标签,例如:iframe alt script和特殊字符。过滤一些事件onClcik onfocus。
  • 5. 如果做不到以上几点,也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转义

→点击获取网络安全资料·攻略←

200多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图

2.持久型 XSS(存储型 XSS)

原理:持久型 XSS 漏洞,一般存在于 Form 表单提交等交互功能,如文章留言,提交文本信息等,黑客利用的 XSS 漏洞,将内容经正常功能提交进入数据库持久保存,当前端页面获得后端从数据库中读出的注入代码时,恰好将其渲染执行

▼防御策略

1、CSP:CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。

设置 HTTP Header 中的 Content-Security-Policy(原文链接)

  • default-src : 定义针对所有类型(js/image/css/font/ajax/iframe/多媒体等)资源的默认加载策略,如果某类型资源没有单独定义策略,就使用默认的。
  • script-src : 定义针对 JavaScript 的加载策略。
  • style-src : 定义针对样式的加载策略。
  • img-src : 定义针对图片的加载策略。
  • font-src : 定义针对字体的加载策略。

CSP 指令值

name 价格
‘*’ 允许加载任何内容
‘none‘ 不允许加载任何内容
‘self‘ 允许加载相同源的内容<
最低0.47元/天 解锁文章
XSSCSRF攻击以及预防手段
南栀的博客
03-12 5122
文章目录XSS反射型持久型DOM型XSS如何防御CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本般包括 JavaScript,有时也会包含 HTML Flash。 有很多种方式进行 XSS 攻击,但它
网络攻击XSSCSRF)详解
程序员世杰
02-20 3156
XSSXSS 原理 Xss(cross-site scripting) 攻击:全称跨站脚本攻击,通过向某网站写入 js 脚本或插入恶意 html 标签来实现攻击。 比如:攻击者在论坛中放个看似安全的链接,骗取用户点击后,窃取 cookie 中的用户私密信息; 或者攻击者在论坛中加个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。 (二...
XSS攻击,零基础入门:原理、分类与简单复现,收藏这就够了!
最新发布
kjuhfkicf154的博客
03-30 198
本文介绍了XSS跨站脚本攻击的基本原理、分类复现方法。XSS攻击通过注入恶意JavaScript代码,利用网页对用户输入的信任缺陷窃取信息或劫持会话。文章详细解析了三种XSS类型:反射型(需诱导点击)、存储型(持久化危害大)DOM型(纯前端攻击),并提供了本地测试环境的搭建指南三类XSS的复现案例,包括搜索框反射型攻击留言板存储型攻击的代码示例,帮助读者直观理解XSS攻击逻辑。强调所有操作应在授权测试环境下进行,严禁未授权攻击
详解XSS攻击CSRF攻击
马小兜要努力呀
07-23 846
什么是XSS攻击XSS中文名称就是跨站脚本攻击XSS的重点不在于跨站点而在于脚本的执行,那么XSS原理是:恶意攻击者在web页面中会插入些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中的script代码会执行,因此会达到恶意攻击用户的目的。XSS攻击分为如下几类:反射型、存储型、DOM-based型,反射型DOM-based型可以归类为非持久的XSS攻击,存储型可以归类为持久性的XSS攻击。 反射型XSS 简而言之,代码出现在url中,作为输入提交到服务器端 原理:反射型
网络安全-跨站脚本攻击(XSS)原理攻击防御
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss攻击客户端,最终受害者是用户,网站管理员也是用户之xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
XSS攻击详解
weixin_47450807的博客
03-01 3万+
博客主要总结下什么是XSS攻击,并且如何防范XSS攻击、什么是XSS攻击 XSS攻击中文名称为:跨站脚本攻击XSS的重点不在于跨站,而在于脚本的攻击XSS攻击的工作原理攻击者会在web页面中插入些恶意的script代码。当用户浏览该页面的时候,那么嵌套在该页面的代码就会执行,因此会达到攻击用户的目的。 XSS的分类:XSS攻击最主要分为如下几类,反射型,存储型,DOM-based型。反射型DOM-based型可以归类于非持久性XSS攻击。存储型可以归类于持久性XSS攻击。 二、反射型
XSSCSRF攻击防御
zl的博客
08-17 1万+
、概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF; 二、XSS 什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是种常见于...
Web前端安全问题:XSS攻击CSRF攻击、点击劫持
yinqian_Golang的博客
05-15 5702
文章目录前端有哪些攻击方式?1. XSS攻击XSS 本质原理XSS分类防御 XSS 攻击如何去检测XSS攻击,怎么知道自己的页面是否存在XSS漏洞?2. CSRF典型的CSRF攻击流程:CSRF的特点如何防范CSRF攻击?3. 点击劫持典型点击劫持攻击流程 【面试】寒冬求职之你必须要懂的Web安全 前端有哪些攻击方式? XSS攻击CSRF攻击、点击劫持 1. XSS攻击 XSS(Cross...
常见web安全问题,SQL注入、XSSCSRF,基本原理以及如何防御
资料qun832218493
04-10 5727
1.SQL注入 原理: 1).SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字元为不同命 令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等 的条件式) 2).SQL命令对于传入的字符串参数是用单引号字元所包起来。(但连续2个单引 号字元,在SQL资料库中,则视为字串中的个单引号字元) 3).SQL命令中,可以注入注解 预防: 1).在设计应用程序时,完全...
xss攻击原理与解决方法
热门推荐
套路猿的博客
04-14 8万+
概述XSS攻击Web攻击中最常见的攻击方法之,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了次有效XSS攻击攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还其他攻击方式同时实施比如SQL注入攻击服务器数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
XSS 攻击(详细)
FFNCL的博客
03-31 7362
XSS,即跨站脚本攻击,是 Web 安全领域中十分常见的漏洞类型。攻击者通过在 Web 页面中注入恶意脚本,当用户浏览该页面时,恶意脚本便会在用户的浏览器中执行。借助这种攻击方式,攻击者能够窃取用户的敏感信息,如登录凭证、个人隐私数据等;劫持用户会话,以用户身份进行各种操作;甚至篡改网站内容,严重损害网站的声誉用户信任。举例来说,某电商网站若存在 XSS 漏洞,攻击者可通过注入恶意脚本,窃取用户的账号密码,进而盗刷用户的账户资金,给用户带来直接的经济损失。
XSS-跨站脚本攻击
qq_64177395的博客
08-16 8704
跨站脚本攻击(Cross Site Scripting),为了不层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的1.2 XSS类型反射型也称为非持久型,这种类型的脚本是最常见的,也是使用最为广泛的种,主要用于将恶意的脚本附加到URL地址的参数中。
XSS攻击原理及危害,说的太详细了!(值得收藏)
周沐子
04-08 7726
防范存储型反射型 XSS 是后端的责任DOM 型 XSS 攻击不发生在后端,是前端的责任。不同的上下文,调用不同的转义规则如 HTML 属性、HTML 文字内容、HTML 注释、跳转链接、内联 JavaScript 字符串、内联 CSS 样式表等,所需要的转义规则不致。业务 需要选取合适的转义库,并针对不同的上下文调用不同的转义规则。
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 9912
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行些操作)、私密网页内容、会话cookie等各种内容。
Web安全渗透测试有什么关系?
Python_0011的博客
03-31 4372
做渗透测试的个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精些,还要学习内网渗透(工作组域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
跨站脚本攻击XSS)分类介绍及解决办法
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全
什么是xss攻击
effort666的博客
06-06 3232
如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,具体点的介绍请google进行搜索。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值