对XSS和CSRF的基本理解

XSS( 跨站脚本攻击)

1.反射性xss:
对XSS和CSRF的基本理解_第1张图片
它的攻击过程为当用户登录网站并获得web服务器颁发的cookie凭证时,这个时候用户点击了攻击者构造的url时,就会在服务器上请求攻击者的url,并在执行攻击者的url中的js代码,js代码会将用户的cookie通过提交给攻击者,从而攻击者就可以获得用户的身份信息。

  1. 存储型xss:这个漏洞的产生一般是因为没有对用户的输入进行过滤,一般存在留言板居多,攻击者将xss代码通过留言板提交给服务器并且,并且存储在数据库中,与放射性xss不同的是,因为存储型xss是将恶意脚本存储在数据库端,所以它可以持续的进行攻击。因此,它的危害比反射性xss要大的多,每当用户访问已经被注入恶意脚本的网页时,恶意脚本就会执行,自己的cookie信息就会通过这个恶意脚本发送给攻击者。

CSRF(Cross-site request forgery)跨站请求伪造

与xss不同的是csrf攻击的方式并不是获取用户的cookie达到攻击的目的,而是在用户在访问服务器获取cookie时,用户点击了攻击者精心构造的url,在用户毫不知情的情况下,在用户的电脑上以用户的身份执行了攻击者想要做的事情,在这一过程,攻击者并没有获得用户的cookie。
举一个小例子:用户刚刚访问了网上银行,这个时候这个用户点击了攻击者的url,攻击者往往构造一些具有吸引力的url诱导你去点击,到这个用户点击了攻击者构造的url时,就会以用户的身份向这个网上银行提交url中的表单,表单的内容很可能就是向攻击者的账户上转账,用户在查一下自己银行上的钱时,发现只有几毛钱,真的是欲哭无泪啊。

你可能感兴趣的:(对XSS和CSRF的基本理解)