版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
CSRF!XSSCSRF介绍举例浏览器同源策略CSRF+XSS蠕虫跨站请求伪造(英语:Cross-siterequestforgery),也被称为
one-clickattack
或者
sessionriding,通常缩写为
CSRF
或者
XSRF。CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS
利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。什么是CSRF?假如银行转账操作的URL地址如下:
那么,一个恶意攻击者可以在另一个网站上放置如下代码:<imgsrc="">如果有账户名为Y4er的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么就会损失1000块钱。简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。举个例子同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript
的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
[1]
如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。php中加上header("Access-Control-Allow-Origin:*");同源策略存在XSS漏洞!和他同源!访问构造好的页面=>触发中的xss!CSRF+XSS蠕虫想要学好xss那么首先你得对html和js有一定的了解推荐w3cschool熟悉XSS需要掌握简单的JS语法
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 劳务信息合同标准文本
- 动物消毒剂采购合同标准文本
- 公司签约画师合同样本
- 医疗软件合同样本
- 出售防水建材合同样本
- 会展旅游合同标准文本
- 医疗劳务合同样本
- 化妆品国际贸易合同样本
- 包装厂合同标准文本
- 企业无息拆借合同样本
- 以茶为媒的小学跨学科教育研究
- 2024年度高速公路机电设备维护合同:某机电公司负责某段高速公路的机电设备维护2篇
- 中考道德与法治复习题型专项漫画式课件
- DB21-T 2885-2023 居住建筑节能设计标准
- 小学二年级-心理健康教育-10-我能坚持-教学课件
- 标准离婚协议书格式样本模板
- 电池制造工(电池(组)装配工)行业职业技能竞赛理论考试题库及答案
- 基于“三新”背景下的2025届新高考物理复习备考策略-课件
- 2024年海洋知识竞赛题库及答案(共70题)
- 应急管理数据标准化与共享
- Unit 5 Humans and nature Lesson 3 Race to the Pole 教学设计-2023-2024学年高中英语北师大版(2019)必修第二册
评论
0/150
提交评论