CSRF
基本的なコンセプト1.CSRFは、略語の略
CSRF(クロスサイトリクエストフォージェリ):クロスサイトリクエストフォージェリ。
攻撃の2.CSRF
ユーザーは、サイトの登録ユーザであり、ログインし、その後、サイトAは、ユーザーの送信クッキーを与えるだろう。
CSRF攻撃を完了するために、図からわかるように、被害者2つの必要な条件を満たしている必要があります。
(1)ログは、サイトAを信頼して、ローカルにクッキーを生成します。(ユーザーがサイトAにログインしていない場合は、誘導時間の後、Bサイト、サイトAのAPIインタフェースの要求がログインするように求められます場合)
Aの場合(2)Bは、(実際には、サイトAの抜け穴を使用することである)、のうち、危険なWebサイトへのアクセスではありません。
我々はCSRFについて話すとき、私たちは、上記の2つの点がクリアしなければなりません。
クッキー、およそのヒントは、ユーザーがログオンしていることを確認することができますが、サイトBは、実際にクッキーを取得します。
3、CSRFどのように守るために
方法、トークンは):(ほとんどを確認するために使用しました
(1)サーバはクライアントにトークンを送信します。
フォーム(2)このトークンを提出したクライアント。
トークンが無効である場合(3)、サーバは要求を拒否します。
方法2:非表示トークン:
HTTPヘッダに隠されたトークンの頭。
この方法の二つの方法などのビットは、自然の中であまり違いはありませんが、使用上の違いがあります。
方法3、リファラーの検証:
リファラーは、ページ要求元を指します。サイトが唯一の要求を受け入れ、サーバーが応答して行われたことを意味し、そうでない場合、彼らが傍受しました。
XSS
1、XSSの基本的な考え方
XSS(クロスサイトスクリプティング):クロスドメインスクリプティング攻撃。
2、XSS攻撃の原則
合法的な操作によって、あなたは、任意のログイン認証を必要としない、それは(そのようなコメント入力ボックスにURL入力のように)、注入されたスクリプト(JSがあなたのページにあるかもしれない、HMTLブロック:XSS攻撃のコア原則でありますなど)。
最終的な結果は次のようになります。
クッキーの盗難広告やその他のインサート悪意のあるコンテンツ損傷ページの正常な構造、D-DOSS攻撃
3、XSS攻撃
(1)、反射型
リクエストは、コードが入力としてサーバーに送信されたURLのXSS、に表示されたら、ブラウザが最後の実行XSSコードを解析し、XSSとレスポンスのコード内容とサーバ側の後に応答は、ブラウザに返さ解析します。このプロセスは、リフレックス、いわゆる反射XSSのようなものです。
(2)、蓄積型メモリ
- 要求を提出する提出ページのコードに格納された次のターゲットXSSコードない前差XSS XSSを記憶すること、反射及びサーバ(データベース、メモリ、ファイルシステム、等)ことです。
予防措置XSS(エンコード+フィルター)
XSSの注意事項3があります。
(1)をコードします:
ユーザーが入力したデータHTMLエンティティ のエンコーディング。エスケープ文字に文字を変換します。エンコードの役割はにある$ VAR といくつかの変形文字、最終的な出力結果に、ブラウザが同じです。たとえば、次のコード:
<スクリプト>警告(1)</スクリプト>
任意の処理をせず、ブラウザが操作JSアラートがXSSの注入を達成し実行します。符号化処理の後、Lは、ブラウザに結果を示しています
<スクリプト>警告(1)</スクリプト>
$ varがプレーンテキスト出力として実現され、およびJavaScriptの実行を引き起こすことはありません。
(2)フィルタ:
関連するユーザー入力プロパティとイベントを削除します。ONERRORは、自動的にトリガ攻撃できるだけでなく、onclickのなどなど。(要約すると、いくつかの安全でないコンテンツフィルタリング)は、スタイルノードのユーザ入力、スクリプトノード、Iフレームのノードを除去します。(クロスドメインをサポートし、それを除去しなければならない。特にスクリプトノード)。
(3)補正
避けてください直接HTMLエンティティをデコード。使用DOM解析変換、補正不対DOMタブ。注:私たちは、になるはず DOM解析の概念を、その役割は、DOM構造にテキストを解析することです。第二段階を通して濾過し、その後、より一般的な方法、テキスト、およびDOMオブジェクトへの第3のステップターンに変換することにより符号化の最初のステップ、および。簡単な答えはあります:まず、エンコードは、それはリッチテキストがホワイトリストに、ある場合。
違いCSRFとXSS
違い:
CSRF:ウェブサイトAを訪問するユーザーを必要とし、クッキーを取得します。XSS:ログインを必要としません。
差の2つの原則との間の差:()
CSRF:ウェブサイトは要求APIウェブサイトAさんに自身の抜け穴を使用すること、です。XSS:JSコードは、サイトAに注入し、その後、ウェブサイトAの内容を改ざん、JSのコードを実行されます
:オリジナルを参照してくださいhttps://www.cnblogs.com/lsj-info/p/9479755.htmlを