【安全】CSRF & XSS

Cross-Site Request Forgery 跨站请求伪造

攻击者借助受害者的cookie骗取服务器信任

攻击者构造某个接口的请求参数,诱导用户点击或者用特殊方式让此请求自动执行,用户在登录状态下这个请求被服务端接收后被误认为是用户合法操作

防御方式

  1. token验证
  2. referer验证

Cross-Site Scripting 跨站脚本攻击

原理

产生的根源:将不受信任的用户内容直接拼接在html(或js、css)文档中。当 这个内容经过精心构造后,原本应该被解释成内容的部分被浏览器解释成脚本执行,从而达到执行攻击者逻辑的目的。

分类

存储型

> 将用户数据保存在服务端,具有很强的稳定性
>
> e.g. 博客、评论

反射型

非持久型XSS

往往需要黑客诱使点击恶意链接生效

DOM

常见攻击目的

  • cookie劫持:攻击者盗取cookie,伪装成用户操作网站
  • 钓鱼:利用用户对当前访问网站的信任,在当前访问网站页面弹出或插入输入框让用户输入账号密码并发送到攻击者的服务器
  • 联合csrf进行攻击:伪装成用户向网站发送请求

防御方式

  1. 输入端进行检查和处理(编码、转义、过滤)

    • 存在的问题:

      • 改变用户输入的语义(原为富文本,需要保存html标签)
      • 编码转义后字符与输入不一致,引起后端校验规则和存储长度限制规则不一致的问题
  2. 输出端进行检查和处理

    • 存在的问题:内容可能在多处使用,容易有疏漏

红皇后假说
你必须尽力地不停地跑,才能使你保持在原地
77 声望
1 粉丝
0 条评论
推荐阅读
【ONVIF】Concepts
ONVIFOpen Network Video Interface Forum 开放型网络视频接口论坛IPCONVIF 服务端(相对于VMS和VNR)NVRONVIF 客户端(相对于IPC):获取设备相关信息ONVIF服务端(相对于VMS) :负责协议转发,使VMS能够访问设...

spoonysnail阅读 614

Linux内存泄露案例分析和内存管理分享
近期我们运维同事接到线上LB(负载均衡)服务内存报警,运维同事反馈说LB集群有部分机器的内存使用率超过80%,有的甚至超过90%,而且内存使用率还再不停的增长。接到内存报警的消息,让整个团队都比较紧张,我们...

京东云开发者2阅读 802

封面图
【超详细】Zod 入门教程
Zod 是一个以 TypeScript 为首的模式声明和验证库 ,弥补了 TypeScript 无法在运行时进行校验的问题Zod 既可以用在服务端也可以运行在客户端,以保障 Web Apps 的类型安全接下来会用十个有趣的例子,带你快速入门...

superZidan1阅读 1.1k

封面图
ctf(pwn&reverse)总结
F5/tab 查看伪代码空格 查看汇编代码视图->打开子视图->字符串 :查看所有字符串编辑->修补程序 :修改程序 修改完后点击修补程序应用到输入文件即可保存修改

白风之下阅读 2.7k

剖析一下"抢茅台"脚本底层逻辑
2022年双十一大促已经完美收官,兄弟姐妹克服种种困难与挑战.. 备战的会议室忙碌中带着紧张,当峰值过后的喜悦不言而喻,今年备战室里听着对面的兄弟讲述了他抢茅台的经过,以及对马上来临的整点茅台活动期待,我...

京东云开发者1阅读 780

封面图
Android App 如何防止抓包
在软件开发中,常用的抓包方式有 Charles 、 Fiddler和Burp,它们通过在手机网络中添加代理的方式,然后安装信任证书,接着就可以在 App 请求的时候拿到请求数据。不过,这也可能导致一些安全问题,所以对于我们...

xiangzhihong阅读 1.5k

Metasploit初级篇
0x01概述Metasploit 框架,总体由由五部分组成,它们分别是:模块接口插件功能程序基础库文件我们最常用的部分是模块部分。模块又可以分为辅助模块 Auxiliary、渗透攻击模块 Exploits、攻击载荷模块 Payloads、空...

白风之下1阅读 1.5k

77 声望
1 粉丝
宣传栏