资讯专栏INFORMATION COLUMN

网站攻击中的csrf和xss

Betta / 860人阅读

摘要:何方神圣中文名字是跨站请求伪造,做的事情就是在别的网站,以你的名义对你登陆认证过的网站搞事情。中文名字是跨站脚本,做的事情就是在有漏洞的网站,写个攻击,或者存个另类的数据到网站数据库,对使用网站的用户造成困扰,属于站内攻击。

CSRF、XSS何方神圣 CSRF(Cross-site request forgery)
中文名字是跨站请求伪造,做的事情就是在别的网站,以你的名义对你登陆认      证过的网站搞事情。
XSS(Cross-site scripting)
中文名字是跨站脚本,做的事情就是在有漏洞的网站,写个dom攻击,或者存个另类的数据到网站数据库,对使用网站的用户造成困扰,属于站内攻击。
它们是怎么令你流泪的 CSRF攻击姿势
在B网站默默写个可访问A网站(用户登陆过了,客户端已经存储cookie)的链接或者脚本。触发方式有用户不小心触发(比如:点击某个按钮啥的),或者用iframe偷偷访问,这时候会带A网站的cookie去请求A服务器,因为用户已经登陆过。如果服务器没有做任何防护,那B网站就开心了,能做的事情就有点多了,比如想去获取一下你的好友列表信息,然后发垃圾邮箱啥的,再比如就是直接转账,把你钱都卷跑。。如果你做了防护,B网站会尝试投你所好,继续攻击,直到没法子。
XSS攻击姿势
1. 检查提交表单是否对用户输入有限制,如果限制没做好,那攻击者可以写入一段脚本、sql语句、包含html标签的内容。
设想录入文章的场景,攻击者写入的文章被用户看到,可发生的事情有:执行js脚本()完了,用户的cookie要丢了,有了用户cookie,能做的事情就有点多了;或者可能会攻击数据库,操作数据,考验你的数据库承受能力。
2. 显示内容根据url参数是否有关,进行参数攻击。
怎么保住自己的江山 CSRF预防措施
1. 使用cookie的httpOnly,设置为true,就不能通过document.cookie
方式获取用户cookie。
2. 使用token,对每个请求都设置一个token,尤其是post, delete等危险
method,比如django就使用了csrf_token机制预防csrf。
3. 检查reffer,检测链接访问来源。
4. 保证自己站内没有xss,这样用户信息不易丢失,不给csrf假冒用户的机
会。
5. 使用X-iframe-options头部控制别的网站用iframe嵌入你的内容。
6. 利用框架自身特点,比如django的csrf_token。
XSS预防措施
1. 对用户可输入信息的地方保持警惕,做好防护,比如转义什么的。
2. 强化数据库,存入数据之前,考虑到安全性。
3. url中的参数考虑下encode
4. 利用框架本身功能,比如django默认会处理特殊字符

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/40660.html

相关文章

  • 前端——影子杀手篇

    摘要:前言对于一个影子杀手而言,总能杀人于无形。前端也有影子杀手,它总是防不胜防地危害着你的网站本篇打算介绍一些前端的影子杀手们和。影子杀手们,由来已久,几乎伴随着整个互联网的发展。 前言 对于一个影子杀手而言,总能杀人于无形。前端也有影子杀手,它总是防不胜防地危害着你的网站 本篇打算介绍一些前端的影子杀手们——XSS和CSRF。或许,你对它恨之入骨;又或者,你运用的得心应手。恨之入骨,可能...

    李世赞 评论0 收藏0
  • 浅谈CDN、SEO、XSSCSRF

    摘要:要钱的简单理解百度的广告就是不用钱的自己配置提高搜索引擎的权重是一种技术,主要是用于提高网站浏览量而做的优化手段为什么需要我们搜一下微信公众号发现排名是有先后的,博客园都是靠前的。 CDN 什么是CDN 初学Web开发的时候,多多少少都会听过这个名词->CDN。 CDN在我没接触之前,它给我的印象是用来优化网络请求的,我第一次用到CDN的时候是在找JS文件时。当时找不到相对应的JS文件...

    番茄西红柿 评论0 收藏0
  • 竞争激烈的互联网时代,是否需要注重一下WEB安全?

    摘要:前言一直以来自己对安全方面的知识了解的比较少,最近有点闲工夫了解了一下。攻击的一般是由服务端解决。攻击条件登录受信任网站,并在本地生成。验证对所有引用对象的授权。 前言 一直以来自己对WEB安全方面的知识了解的比较少,最近有点闲工夫了解了一下。也是为了以后面试吧,之前就遇到过问WEB安全方面的问题,答的不是很理想,所以整理了一下! 一、XSS攻击 跨站脚本攻击(Cross Site ...

    Andrman 评论0 收藏0
  • 竞争激烈的互联网时代,是否需要注重一下WEB安全?

    摘要:前言一直以来自己对安全方面的知识了解的比较少,最近有点闲工夫了解了一下。攻击的一般是由服务端解决。攻击条件登录受信任网站,并在本地生成。验证对所有引用对象的授权。 前言 一直以来自己对WEB安全方面的知识了解的比较少,最近有点闲工夫了解了一下。也是为了以后面试吧,之前就遇到过问WEB安全方面的问题,答的不是很理想,所以整理了一下! 一、XSS攻击 跨站脚本攻击(Cross Site Sc...

    SnaiLiu 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<