「这是我参与2022首次更文挑战的第5天,活动详情查看:2022首次更文挑战」
今天我们来聊聊什么是XSS和什么是CSRF
下面一个一个将到
首先看看CSRF:
CSRF是跨站请求伪造,可以理解为攻击者盗用了用户的身份,以用户的名义发送了恶意请求,比如用户登录了一个网站后,立刻在另一个tab页面访问量攻击者用来制造攻击的网站,这个网站要求访问刚刚登陆的网站,并发送了一个恶意请求,这时候 CSRF就产生了,比如这个制造攻击的网站使用一张图片,但是这种图片的链接却是可以修改数据库的,这时候攻击者就可以以用户的名义操作这个数据库,防御方式的话:使用验证码,检查 https头部的refer,使用 token
接着我们来看看什么是XSS
XSS:跨站脚本攻击,是说攻击者通过注入恶意的脚本,在用户浏览网页的时候进行攻击,比如获取cookie,或者其他用户身份信息,可以分为存储型和反射型,存储型是攻击者输入一些数据并且存储到了数据库中,其他浏览者看到的时候进行攻击,反射型的话不存储在数据库中,往往表现为将攻击代码放在url 地址的请求参数中,防御的话为cookie设置 httpOnly 属性,对用户的输入进行检查,进行特殊字符过滤
XSS类型有
- 反射型
- 存储型
- DOM型
浏览器安装HTTP Header Live 插件!
在网站中已经预置好了用户 信息如下:
User UserName Password
Admin admin seedelgg
Alice alice seedalice
Boby boby seedboby
Charlie charlie seedcharlie
Samy samy seedsamy
由于我们需要一台预置的Ubuntu虚拟机作为Elgg服务器
一台Ubuntu虚拟机作为攻击者
因此 需要在攻击者的机器上配置DNS 以便于攻击者能访问到Elgg服务器
在预置的Ubuntu虚拟机中 只需要启动Apache即可
以上是XSS、CSRF的相关内容,欢迎点赞支持
