互联网的正常工作过程:      张三被捕 但是如果有漏洞被XSS攻击:    XSS是跨站点脚本攻击(Cross Site Scripting),为了不与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,因此跨站点脚本攻击简称为XSS。恶意攻击者会将恶意脚本代码插入网页。用户浏览页面时,将执行在Web中的脚本代码嵌入,从而达到了恶意攻击用户的目的。 简单的说 1.普通用户A提交正常内容,该内容显示在另一个用户B的网页上,没有任何问题。 2.恶意用户H提交恶意内容并将其显示在另一个用户B的网页上,随意篡改B的网页。  导致XSS的几点要点: 1.恶意用户可以提交内容 2.提交的内容可以显示在其他用户的页面上 3.这些内容尚未过滤,直接在其他用户页面上运行
CSRF攻击是让用户在不知情的情况,冒用其身份发起了一个请求:  CSRF是跨站点的请求伪造(Cross-Site Request Forgery)。像XSS攻击一样,存在巨大的危害。
你可以这样理解:攻击者窃取了你的身份,并以你的名义发送了恶意请求。该请求对服务器完全合法,但是它已完成了攻击者期望的操作,例如用你的名义发送电子邮件,发送消息,窃取你的帐户,添加系统管理员,甚至购买商品,虚拟货币转帐等。 黑客:老朋友呀,这个网址里面有你的高中合影哎? 你:真的啊,我看看 。 黑客:哈哈,你的靶场被我种了一颗瓜了~ 你:不会吧,你怎么做到的? 黑客:你是不是点击了网址? 你:shit,这也会中招啊 ! XSS本质上是Html注入,类似于SQL注入。
SQL,HTML和人类语言都是指令他们和数据混合在一起,存在注入的风险(程序会基于分隔符和标签识别指令和数据,不同于我们普通人类是根据说话的语境、语义和我们而定日常生活经验判断吸收)。 例如,当注册用户时,用户输入“王二麻子”并提交,服务端会生成“ <p>欢迎新用户,王二麻子</p> ”传给浏览器。如果用户输入"<script>alert('逗你玩')<script>",服务端会生成 “<p>欢迎新用户,<script>alert('逗你玩')<script></p>”,输入内容就会被浏览器识别为指令执行,这就是XSS注入; 同理,小偷也是利用了这个漏洞,输入一个有特殊含义的词语作为名字,被其他客户端识别为指令,从而完美的完成了一个存储型XSS注入攻击。
|