網站攻擊中的csrf和xss

Betta 發布于2019-07-30 14:22 / 870人閱讀

摘要：何方神圣中文名字是跨站請求偽造，做的事情就是在別的網站，以你的名義對你登陸認證過的網站搞事情。中文名字是跨站腳本，做的事情就是在有漏洞的網站，寫個攻擊，或者存個另類的數據到網站數據庫，對使用網站的用戶造成困擾，屬于站內攻擊。

CSRF、XSS何方神圣 CSRF(Cross-site request forgery)

中文名字是跨站請求偽造，做的事情就是在別的網站，以你的名義對你登陸認      證過的網站搞事情。

XSS(Cross-site scripting)

中文名字是跨站腳本，做的事情就是在有漏洞的網站，寫個dom攻擊，或者存個另類的數據到網站數據庫，對使用網站的用戶造成困擾，屬于站內攻擊。

它們是怎么令你流淚的 CSRF攻擊姿勢

在B網站默默寫個可訪問A網站（用戶登陸過了，客戶端已經存儲cookie）的鏈接或者腳本。觸發方式有用戶不小心觸發(比如：點擊某個按鈕啥的），或者用iframe偷偷訪問，這時候會帶A網站的cookie去請求A服務器，因為用戶已經登陸過。如果服務器沒有做任何防護，那B網站就開心了，能做的事情就有點多了，比如想去獲取一下你的好友列表信息，然后發垃圾郵箱啥的，再比如就是直接轉賬，把你錢都卷跑。。如果你做了防護，B網站會嘗試投你所好，繼續攻擊，直到沒法子。

XSS攻擊姿勢

1. 檢查提交表單是否對用戶輸入有限制，如果限制沒做好，那攻擊者可以寫入一段腳本、sql語句、包含html標簽的內容。
設想錄入文章的場景，攻擊者寫入的文章被用戶看到，可發生的事情有：執行js腳本（）完了，用戶的cookie要丟了，有了用戶cookie,能做的事情就有點多了；或者可能會攻擊數據庫，操作數據，考驗你的數據庫承受能力。
2. 顯示內容根據url參數是否有關，進行參數攻擊。

怎么保住自己的江山 CSRF預防措施

1. 使用cookie的httpOnly，設置為true,就不能通過document.cookie
方式獲取用戶cookie。
2. 使用token,對每個請求都設置一個token,尤其是post, delete等危險
method,比如django就使用了csrf_token機制預防csrf。
3. 檢查reffer,檢測鏈接訪問來源。
4. 保證自己站內沒有xss,這樣用戶信息不易丟失，不給csrf假冒用戶的機
會。
5. 使用X-iframe-options頭部控制別的網站用iframe嵌入你的內容。
6. 利用框架自身特點，比如django的csrf_token。

XSS預防措施

1. 對用戶可輸入信息的地方保持警惕，做好防護，比如轉義什么的。
2. 強化數據庫，存入數據之前，考慮到安全性。
3. url中的參數考慮下encode
4. 利用框架本身功能，比如django默認會處理特殊字符

GPU云服務器云服務器 csrf攻擊 csrf攻擊原理 asp攻擊xss js xss攻擊

文章版權歸作者所有，未經允許請勿轉載,若此文章存在違規行為，您可以聯系管理員刪除。

轉載請注明本文地址：http://m.specialneedsforspecialkids.com/yun/40660.html

前端——影子殺手篇

摘要：前言對于一個影子殺手而言，總能殺人于無形。前端也有影子殺手，它總是防不勝防地危害著你的網站本篇打算介紹一些前端的影子殺手們和。影子殺手們，由來已久，幾乎伴隨著整個互聯網的發展。前言對于一個影子殺手而言，總能殺人于無形。前端也有影子殺手，它總是防不勝防地危害著你的網站本篇打算介紹一些前端的影子殺手們——XSS和CSRF。或許，你對它恨之入骨；又或者，你運用的得心應手。恨之入骨，可能...

李世贊 2019-08-21 16:57 評論0 收藏0
淺談CDN、SEO、XSS、CSRF

摘要：要錢的簡單理解百度的廣告就是不用錢的自己配置提高搜索引擎的權重是一種技術，主要是用于提高網站瀏覽量而做的優化手段為什么需要我們搜一下微信公眾號發現排名是有先后的，博客園都是靠前的。 CDN 什么是CDN 初學Web開發的時候，多多少少都會聽過這個名詞->CDN。 CDN在我沒接觸之前，它給我的印象是用來優化網絡請求的，我第一次用到CDN的時候是在找JS文件時。當時找不到相對應的JS文件...

番茄西紅柿 2019-07-16 14:29 評論0 收藏0
競爭激烈的互聯網時代，是否需要注重一下WEB安全？

摘要：前言一直以來自己對安全方面的知識了解的比較少，最近有點閑工夫了解了一下。攻擊的一般是由服務端解決。攻擊條件登錄受信任網站，并在本地生成。驗證對所有引用對象的授權。前言一直以來自己對WEB安全方面的知識了解的比較少，最近有點閑工夫了解了一下。也是為了以后面試吧，之前就遇到過問WEB安全方面的問題，答的不是很理想，所以整理了一下！一、XSS攻擊跨站腳本攻擊(Cross Site ...

Andrman 2019-08-26 13:46 評論0 收藏0
競爭激烈的互聯網時代，是否需要注重一下WEB安全？

摘要：前言一直以來自己對安全方面的知識了解的比較少，最近有點閑工夫了解了一下。攻擊的一般是由服務端解決。攻擊條件登錄受信任網站，并在本地生成。驗證對所有引用對象的授權。前言一直以來自己對WEB安全方面的知識了解的比較少，最近有點閑工夫了解了一下。也是為了以后面試吧，之前就遇到過問WEB安全方面的問題，答的不是很理想，所以整理了一下！一、XSS攻擊跨站腳本攻擊(Cross Site Sc...

SnaiLiu 2019-05-23 17:32 評論0 收藏0