CSRF攻击 又叫“跨站请求伪造”。可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你的名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 下图简单阐述了CSRF攻击的思想: 1、 ...
分类:
其他好文 时间:
2020-03-31 18:53:30
阅读次数:
92
XSS简述 Cross-Site Scripting 跨站脚本 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。 XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、盗取用户cookie,甚至对主机进行远程控制 ...
分类:
其他好文 时间:
2020-03-30 23:13:51
阅读次数:
76
浏览器的同源策略:协议相同、域名相同、端口相同。所有浏览器厂商遵循这种策略。 非同源(跨域)共有三种行为受到限制: cookie、localstorage、和IndexDB无法获取 DOM无法获取 ATAX请求不能发送 这种同源性会有效的阻止CSRF(跨站请求)攻击。 浏览器请求分为两种:(CORS ...
分类:
其他好文 时间:
2020-03-25 21:43:44
阅读次数:
60
CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人 ...
分类:
其他好文 时间:
2020-03-25 21:13:55
阅读次数:
76
跨域的概念 由于浏览器的同源策略,为了防范跨站脚本的攻击,禁止客户端脚本对不同域下的文档或脚本进行跨站调用资源。 怎么解决跨域问题 安装插件 >: pip install django-cors-headers 插件参考地址:https://github.com/ottoyiu/django-cor ...
分类:
其他好文 时间:
2020-03-24 21:43:59
阅读次数:
73
一丶XSS漏洞成因及原理 XSS也叫Cross Site Script,因为和CSS重名,所以改名XSS。 通常指黑客通过“HTML注入”纂改了页面,插入了恶意的脚本,从而在用户浏览页面时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是 跨域的,所以叫“跨站脚本”。但是发展到今天,由于Ja ...
分类:
其他好文 时间:
2020-03-24 19:00:48
阅读次数:
182
web常见攻击手段 我只会大概提及它的攻击原理和预防方法,具体的实现和深入研究还请大家自行百度,因为只有真正需要用到才会去详细了解,这里我只为web安全小白做知识扫盲。因为博主目前接触最多的服务端语言是JAVA所以例子都从java web项目来讲。 跨站脚本攻击(XSS) 虽然我们目前做的是一个博客 ...
分类:
Web程序 时间:
2020-03-23 17:24:37
阅读次数:
87
CSRF 1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: ( ...
分类:
其他好文 时间:
2020-03-23 15:16:43
阅读次数:
78
XSS的中文名称叫跨站脚本,是WEB漏洞中比较常见的一种,特点就是可以将恶意HTML/JavaScript代码注入到受害用户浏览的网页上,从而达到劫持用户会话的目的。XSS根据恶意脚本的传递方式可以分为3种,分别为反射型、存储型、DOM型,前面两种恶意脚本都会经过服务器端然后返回给客户端,相对DOM ...
分类:
其他好文 时间:
2020-03-22 19:44:38
阅读次数:
72
问题 在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。 方法 使用jsoup HTML Cleaner ...
分类:
Web程序 时间:
2020-03-21 21:18:58
阅读次数:
87
