CSRF SSRF XSS三者之间的区别及其流量

已于 2024-04-03 17:36:17 修改
阅读量1k 收藏 13
点赞数 22
CC 4.0 BY-SA版权
文章标签: csrf 安全 前端 网络安全 web安全
于 2024-04-03 17:33:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73062138/article/details/137344820
本文详细解释了XSS(包括反射型、存储型和DOM型)、CSRF以及SSRF的攻击原理、危害、流量特征和防御方法。强调了服务器对用户输入的过滤和验证在防止这些攻击中的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1.XSS 跨站脚本攻击

XSS攻击的危害:

如何验证是否存在XSS漏洞?

XSS的流量分析:

XSS防御手段:

2.CSRF 跨站请求伪造攻击

CSRF的流量:

CSRF的防御:

SSRF 服务器端请求伪造

SSRF产生的原因:

XSS CSRF SSRF三者的区别:

1.XSS 跨站脚本攻击

XSS产生的原因:

  • Web应用对用户输入过滤不严谨
  • 攻击者写入恶意的脚本代码到网页中
  • 用户访问了含有恶意代码的网页
  • 恶意脚本就会被浏览器解析执行并导致用户被攻击

XSS的类型:

  • 反射型XSS
    • 非持久性跨站脚本的攻击
    • 攻击是一次性的,仅对当前的网站产生影响,不会存储到服务器
    • 攻击方式:攻击者将恶意脚本作为参数包含在URL中,当用户点击包含这些参数的链接时,恶意脚本就会被执行。
  • 存储型XSS
    • 持久性跨站脚本攻击
    • 攻击者把恶意代码存储在服务器上,攻击行为一直存在
    • 攻击方式:攻击者将恶意脚本存储到网站数据库中,当用户访问包含这些恶意脚本的页面时,就会触发XSS攻击
  • DOM型XSS
    • 既可能是反射型的,也有可能是存储型的
    • 基于文档对象模型的漏洞
    • 攻击方式:攻击者利用前端JavaScript对DOM进行操作的特性,通过修改DOM元素内容来执行恶意代码。

XSS攻击的危害:

  1. 盗取各类用户账号
  2. 控制企业数据
  3. 非法转账
  4. 网站挂马
  5. 控制受害者机器向其他网站发起攻击

如何验证是否存在XSS漏洞?

  1. 找到输入位置,比如输入框
  2. 找到输出位置(输入的代码在网页的那个位置进行了输出)
  3. 构造payload

XSS的流量分析:

  • 返回包中和请求包中返回相同的攻击语句
  • 返回包中的攻击语句仍包裹着script等标签
  • 返回包中的攻击语句未转译

三者均满足 表明xss注入成功

XSS防御手段:

  1. 输入过滤
  2. 输出编码
  3. 内容安全策略
  4. 黑白名单

2.CSRF 跨站请求伪造攻击

攻击原理:攻击者利用你的身份,以你的名义发送恶意请求

CSRF产生的原因:通常由于服务器没有对请求头做严格的过滤引起的。

CSRF攻击的两个条件:

  1. 登录受信任的网站A,并在本地产生了Cookie
  2. 在不退出A的情况下,访问了危险的网站B

CSRF的流量:

  • 从请求头中的Referer字段,判断请求是否从其它网站跳转而来
  • 观察请求中是否存在CSRF Token中

CSRF的防御:

  1. 验证 HTTP Referer 字段

  2. 增加 token并验证

  3. 在 HTTP 头中自定义属性并验证

危害:

  • 执行未授权操作
  • 盗取用户信息
  • 篡改用户数据
  • 利用用户权限
  • 影响网站功能

SSRF 服务器端请求伪造

SSRF产生的原因:

服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制

SSRF漏洞场景:

  • 分享
  • 转码
  • 在线翻译
  • 图片加载,下载
  • 图片,文章收藏
  • 未公开的API

URL中的关键字:

  • share
  • wap
  • url
  • link
  • src
  • source
  • target
  • u
  • 3g
  • dispaly
  • sourceURL
  • imageURL
  • domain

危害:

1.服务探测

2.协议

3.访问敏感数据

4.内网探测

SSRF的流量:

        在HTTP请求包中看见一些携带内层请求的流量 

XSS CSRF SSRF三者的区别:


XSS:XSS与js代码有关,攻击者或受害者去触发,是服务器对用户输入数据没有进行严格的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的脚本语句执行

CSRF:客户端发出请求,受害者触发,服务端没有对用户提交的数据进行严格的校验,导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器

SSRF:服务端发起请求,SSRF是服务器对用户提供的可控URL过于信任,没有对攻击者提供的URL进行地址的限制和严格的检测,导致攻击者可以以此为跳板机攻击内网

RLG_星辰
关注
CSRFSSRF
qq_73792226的博客
07-22 1407
CSRF定义:CSRF是一种由攻击者构造形成,利用用户在已登录的网站中提交非法请求的行为。攻击者通过伪造用户提交的请求,将恶意请求发送至受信任的网站,导致用户在不知情的情况下执行恶意操作。原理:CSRF攻击利用了网站对用户网页浏览器的信任。攻击者通过诱使用户访问一个恶意网页(通常是通过邮件、消息或恶意网站链接),该网页中包含了一个指向受信任网站的恶意请求。由于用户的浏览器在访问该网站时已经处于登录状态,因此这个恶意请求会携带用户的认证信息(如Cookie),从而被受信任的网站信任并执行。SSRF
XSSCSRFSSRF漏洞的攻击原理以及防御
qq_57307348的博客
02-24 1422
XSS xss:跨站脚本攻击,不需要做任何的登录认证,通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本程序或者攻击者在Web页面里插入恶意script代码,当用户浏览该页之时,嵌入Web里面的script代码会被执行,从而达到恶意攻击用户的目的。 攻击条件 向web页面注入恶意代码 这些恶意代码能够被浏览器成功的执行 攻击原理 xss漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后, 在输到前端时被浏览器当作有效...
XSSCSRFSSRF
网络安全知识分享
09-22 8824
XSSCSRFSSRF相同不同修复方式面试题: 相同不同 相同点: XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 相同点: XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点: XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的脚本语句被执行。 CSRF(跨站请求伪造)是服务器端没有对用户
XSSCSRFSSRF区别
m0_57836225的博客
10-10 987
网络安全领域,XSS(通常指 XSS,即跨站脚本攻击)、CSRF(跨站请求伪造攻击)和 SSRF(服务器端请求伪造攻击)是常见的安全漏洞类型。下面我们来详细了解它们之间区别
【HW系列】—SQL注入、XSS、文件上传流量特征
最新发布
2402_84408069的博客
05-27 895
文章摘要:本文分析了SQL注入、XSS和文件上传三类Web漏洞的流量特征及检测方法。SQL注入特征包括异常语法结构(特殊符号、SQL关键字)、参数构造(永真条件、敏感函数)及行为异常(高频请求);XSS特征主要有恶意标签/事件属性、编码混淆及响应未转义;文件上传漏洞表现为异常请求结构(可疑后缀、路径穿越)、恶意载荷(WebShell、ZIP炸弹)及试探行为。检测方法涵盖正则匹配、异常流量统计和安全头部检查,防御建议包括输入验证、输出编码和严格上传策略。本文仅限技术研究用途。
白帽子(4)-csrfssrf, xss区别
CPriLuke的博客
12-20 651
XSS攻击过程 攻击者发现xss漏洞 → 构造代码 → 发送给受害人 → 受害者打开 → 攻击者获取受害人的cookie → 完成攻击 攻击者:需要登录到后台完成攻击 CSRF攻击过程 攻击者发现xss漏洞 → 构造代码 → 发送给受害人 → 受害者打开 → 受害者执行代码 → 完成攻击 总结: CSRF攻击者只负责构造代码,攻击由用户实现,CSRF少了cooke获取的步骤,为什么少了呢?因为受害人在执行恶意代码的时候就已经外成了攻击,而攻击者并没有参与进来 ...
SSRF(服务器端请求伪造)漏洞流量特征
weixin_71061514的博客
11-07 807
SSRF服务器端请求伪造漏洞流量特征
XSS(跨站脚本攻击)漏洞特征-流量特征poc
weixin_71061514的博客
11-11 531
综上,可研判出XSS告警是否为真实攻击事件,若不存在类型特征将不是真实攻击。参照以下XSS流量特征,定能研判出Xss告警是否为真实攻击。aert()以及script标签来获取账号。url解密出来的函数是恶意函数。
XSSCSRFSSRF漏洞原理以及防御方式
Love_Naive的博客
09-03 5764
这里写目录标题XSSXSS攻击原理:XSS的防范措施主要有三个:编码、过滤、校正CSRFCSRF攻击攻击原理及过程如下:CSRF攻击的防范措施:SSRFSSRF漏洞攻击原理以及方式SSRF漏洞攻击的防范措施XMLXSSCSRFSSRF区别XSSCSRF区别 XSS XSS(Cross Site Scripting):跨域脚本攻击。 XSS攻击原理: 不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 X
csrfssrf漏洞的原理是?如何防御和利用csrfssrf漏洞
DXfighting_的博客
04-14 1130
Csrf原理: CSRF是一种依赖web浏览器的、被混淆过的代理人攻击。 防御csrf漏洞: 验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header Ssrf漏洞原理: 很多web应用都提供了从其他的服务器上获取数据的功能。使用指定的URL,web应用便可以获取图片,下载文件,读取文件内容等。SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般情况下, SSRF攻击的目标是外网无法访问的内部系统,黑客可以利用S
XSS攻击流量走向
keizhige的博客
06-17 647
XSS 攻击分类有哪些
告警流量特征分析(护网蓝初面试干货)
Welcome To Myon'Blog !
06-09 8851
一、流量特征 1、SQL注入 2、XSS 3、挖矿行为 二、webshell流量特征 1、中国菜刀 2、蚁剑 3、冰蝎 三、对告警流量分析 1、信息泄露 2、SQL注入 3、文件上传 4、XSS 5、代码执行
常见的 CSRFXSS、sql注入、DDOS流量攻击
php阿宝的博客
07-23 379
CSRF攻击 :跨站请求伪造攻击 ,CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRFXSS更具危险性(攻击方伪装用户身份发送请求从而窃取信息或破坏系统) 攻击者一般会使用吸引人的图片去引导用户点击进去他设定好的全套,然后你刚登录的A网站没有关闭,这时候攻击者会利用JS事件去模拟用户请求A网站信息,从而就得到了目的。 预防措施:...
Wireshark 分析常见 Web 攻击的流量特征
weixin_51559599的博客
12-08 8917
攻击者在输入字段中插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
XSS简述
m0_48907714的博客
04-13 3207
XSS跨站漏洞产生原理,危害,特点? 本质,产生层面,函数类,漏洞操作对应层,危害影响,浏览器内核版本等 Xss跨站漏洞分类 反射型(会经过后端服务器) 存储型 DOM型(也是反射型,它不经过后端服务器,只经过前端渲染) 正常情况下,只有存储型才有作用 >onclick="alert (2) " <script>alert (2)</script> 实例:获取cooick 接收端: <?php $cookie = $_GET['cookie'];//获取cookie $
通信流量分析
qq_44704184的博客
06-11 1404
wireshark流量分析
安全为中心的流量分析
虹科网络安全的博客
12-16 964
为什么以安全为中心的流量分析非常重要? 网络攻击的不断增加,要求NTA(网络流量分析)除了传统的监控(即延迟监控、服务可用性…..)外,还要注重安全方面。 特别是新的挑战,包括: 加密流量分析 检测易受攻击的协议和密码 完全可视性包括可能造成严重问题的IoT设备(如标记阅读器) 实时识别威胁和可疑事件 网络安全分类 网络安全监控:需求 分布式监控平台 网络边缘流量监控+集中分析 深度网络流量剖析,同时检测加密流量(越来越流行)。 解读流量监控数据,从原始信号中创建警报,并触发可
xss,csrf,ssrf区别
02-07
### XSSCSRFSSRF安全漏洞对比 #### 跨站脚本攻击 (XSS) 跨站脚本攻击是指当Web应用程序对用户输入的数据未做充分验证或转义时,允许攻击者将恶意脚本注入到网页中。这些脚本会在其他用户的浏览器上执行,从而窃取敏感数据、会话令牌或是实施钓鱼攻击等行为[^3]。 例如,在一个存在反射型XSS漏洞的应用程序里: ```javascript // 用户提交了一个带有JavaScript代码的查询参数 ?search=<script>alert('XSS')</script> ``` 如果该应用直接回显此输入而不加处理,则任何访问含有上述链接的人都会被弹窗警告框打扰。 #### 跨站请求伪造 (CSRF) 跨站请求伪造涉及诱导已认证过的受害者无意间发起由攻击者精心构造的操作指令给目标服务端。这是因为大多数HTTP请求都会自动附带存储于浏览器中的凭证信息(比如Cookies),即使是在非预期的情况下发出的请求也不例外。因此,只要能诱骗合法用户点击特定链接或者加载某个图片资源就可能触发一次成功的CSRF攻击[^1]。 考虑这样一个场景——银行转账功能页面没有采用有效的防护措施防止CSRF: ```html <!-- 攻击者的恶意网站 --> <img src="https://bank.example.com/transfer?to=attacker&amount=1000" /> ``` 一旦已经登录过网上银行系统的客户浏览到了这个图像标签所在的HTML文档,就会立即向其开户行发送一笔金额为一千元人民币的资金转移命令。 #### 服务器端请求伪造 (SSRF) 服务器端请求伪造指的是应用程序接受并转发来自客户端指定位置的内容读取请求,而未能对外部可控制部分加以适当审查便予以响应的行为模式。这种缺陷使得远程对手能够借助受害主机作为中介绕开防火墙限制进而探测内部网络结构甚至发动进一步侵害活动[^2]。 设想某API接口允许上传文件的同时也支持自定义下载源地址选项却没有设置白名单机制的话, ```python import requests def fetch_remote_file(url): response = requests.get(url) # 缺乏必要的安全性检查 with open('/tmp/fetched', 'wb') as f: f.write(response.content) ``` 此时,调用方完全可以传入私有IP段内的路径致使后端机器尝试建立连接最终造成潜在危害。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值