版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
CSRF!XSSCSRF介绍举例浏览器同源策略CSRF+XSS蠕虫跨站请求伪造(英语:Cross-siterequestforgery),也被称为
one-clickattack
或者
sessionriding,通常缩写为
CSRF
或者
XSRF。CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS
利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。什么是CSRF?假如银行转账操作的URL地址如下:
那么,一个恶意攻击者可以在另一个网站上放置如下代码:<imgsrc="">如果有账户名为Y4er的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么就会损失1000块钱。简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。举个例子同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript
的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
[1]
如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。php中加上header("Access-Control-Allow-Origin:*");同源策略存在XSS漏洞!和他同源!访问构造好的页面=>触发中的xss!CSRF+XSS蠕虫想要学好xss那么首先你得对html和js有一定的了解推荐w3cschool熟悉XSS需要掌握简单的JS语法
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 二零二五版绿色包装材料研发及推广合同2篇
- 2025年度石料厂产品质量安全承包管理合同范本2篇
- 二零二五年度城市综合体建筑设计合同3篇
- 2025年度高新技术企业知识产权质押担保合同范本3篇
- 二零二五版农村小微企业发展借款合同解析论文3篇
- 二零二五年生物制药工艺技术聘用合同2篇
- 二零二五版股权代持协议签订前的合同谈判注意事项3篇
- 二零二五年度建筑工程安全施工环境保护监理合同3篇
- 二零二五版购房合同违约责任条款解析3篇
- 2025年度紧急物资承揽运输合同3篇
- 精神病医院财务后勤总务管理制度
- 停车场施工施工组织设计方案
- GB/T 37238-2018篡改(污损)文件鉴定技术规范
- 普通高中地理课程标准简介(湘教版)
- 河道治理工程监理通知单、回复单范本
- 超分子化学简介课件
- 高二下学期英语阅读提升练习(一)
- 易制爆化学品合法用途说明
- 【PPT】压力性损伤预防敷料选择和剪裁技巧
- 大气喜庆迎新元旦晚会PPT背景
- DB13(J)∕T 242-2019 钢丝网架复合保温板应用技术规程
评论
0/150
提交评论