根據《**http》一書關於web攻擊的介紹,攻擊的模式有兩大類,主動攻擊與被動攻擊
主動攻擊:
主要針對伺服器上的資源進行攻擊,代表攻擊方式有sql注入與os命令注入.
被動攻擊:
攻擊者並不是直接對web應用發起攻擊, 而是通過一定的引誘或者圈套策略發起攻擊.
被動攻擊中最常見的兩種攻擊方式是xss與csrf:
xss(cross-site-scripting):跨站指令碼攻擊
跨站指令碼攻擊的型別分為兩種:
反射型: url裡面帶有攻擊**
儲存型: 從後台讀取到的內容裡含有攻擊**
防禦方式: 純文字:在提交時轉義;富文字: 白名單過濾
csrf(cross-site request forgery):跨站請求偽造
請求偽造的原理,網上有一張比較常見的:
原理簡而言之就是:
常見的解決方案分為三種:
1.使用token進行登入驗證
token驗證是最常用的驗證方式,一般情況下由服務端給客戶端傳送乙個用於身份驗證的token,客戶端再傳送請求的時候將token傳遞回去,如果token驗證不通過,那麼服務端會拒絕該請求
2.進行refer驗證
refer意指**,驗證請求**的意思是只有本站的請求,伺服器才做出響應,不然的話, 就攔截請求.
3.使用隱藏令牌
隱藏令牌的方法本質上與方法一沒有太大區別, 只是使用方式不同.
二者之間的區別如下:
區別一:
區別二:(原理的區別)
web安全(xss攻擊和csrf攻擊)
1 csrf攻擊 csrf cross site request forgery 跨站請求偽造。1 攻擊原理 如上圖,在b 引誘使用者訪問a 使用者之前登入過a 瀏覽器 cookie 快取了身份驗證資訊 通過呼叫a 的介面攻擊a 2 防禦措施 1 token驗證 登陸成功後伺服器下發token令牌存...
Web安全攻擊XSS與CSRF攻擊簡述
摘要 公司要給近期專案檢測安全性,主要針對的是stored xss攻擊方式,借這次就在這裡好好總結一下,什麼是xss攻擊,為什麼會出現xss攻擊,xss攻擊有哪些種類,xss攻擊有什麼危害,以及cfrs攻擊。什麼是xss攻擊 xss攻擊全稱cross site scripting即跨站指令碼攻擊,這...
安全問題(XSS與CSRF)
一.xss 1.xss的定義 跨站指令碼攻擊 cross site scripting 縮寫為xss。惡意攻擊者往web頁面裡插入惡意script 當使用者瀏覽該頁之時,嵌入其中web裡面的script 會被執行,從而達到惡意攻擊使用者的目的。2.xss的攻擊方式 1 反射型 發出請求時,xss 出...