技術問答
技術文章
iT 徵才
Tag
聊天室
2025 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 11 屆 iThome 鐵人賽
DAY
14
1
Security
不小心飛進資安之旅(學習筆記)
系列 第
14
篇
Day14 常見的攻擊手法-XSS&CSRF (跨站腳本&跨站請求偽造)攻擊
11th鐵人賽
羽洛燁
2019-09-30 17:19:28
9066 瀏覽
分享至
A7:2017-Cross-Site Scripting (XSS) 跨站腳本
攻擊者利用網站漏洞把惡意的腳本代碼(通常包括HTML代碼和客戶端JavaScript腳本)注入到網頁中,當其他用戶瀏覽這些網頁時,就會執行其中的惡意代碼,對受害用戶可能採用Cookie資料竊取、會話劫持、釣魚欺騙等各種攻擊。
攻擊對策:檢查用戶輸入的內容中是否有非法內容。
如<>(尖括號)、”(引號)、 ‘(單引號)、%(百分比符號)、;(分號)、()(括號)、&(& 符號)、+(加號)等。、嚴格控制輸出
攻擊步驟:
攻擊者發現一個網站注入腳本漏洞
攻擊者使用竊取cookie的惡意java腳本在網站的數據庫中注入一個有效負載網站用攻擊者的有效載荷向受害者的瀏覽器發送頁面。
受害者的瀏覽器執行惡意腳本
腳本執行受害者將他的cookie發送給攻擊者
攻擊提取受害者的cookie,之後他將其用於會話劫持
CSRF Attacks 跨站請求偽造
使用者登入後,單憑瀏覽器與伺服端之間的會話溝通,使用者在無知的情況下,點選某外部網站的鏈結(甚至只是瀏覽了某個頁面)回到已登入網站,確認使用者的身分無誤而進行各種操作,使得攻擊者,只要能命令瀏覽器做出想要的請求,即使在沒有執行任何JavaScript的情況下,也能使CSRF攻擊成立
攻擊對策:
1. 儘量不使用自動登入,在使用者沒有活動一段時間之後,自動登出
2. 檢查 Referer,確認來源非跨站請求
3. 判定是不是合法 domain 的程式碼必須要保證沒有 bug
4. 加強使用者身分辨認機制,如圖形驗證碼、簡訊驗證碼
留言
追蹤
檢舉
上一篇
Day13 常見的攻擊手法-SQL注入
下一篇
Day 15 常見的攻擊手法-DoS&DDos攻擊
系列文
不小心飛進資安之旅(學習筆記)
共
20
篇
目錄
RSS系列文
訂閱系列文
38
人訂閱
16
Day 16 常見的攻擊手法-MitM(Man-in-the-middle) 攻擊
17
[遲]Day 17 Phishing Attacks 釣魚攻擊
18
[遲]Day 18 網頁劫持
19
[遲]Day 19 DNS劫持
20
【遲】Day 20 Http/Https劫持
完整目錄
熱門推薦
{{ item.subject }}
{{ item.channelVendor }}
|
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
902
組
團體組數
37
組
累計文章數
10445
篇
完賽人數
100
人
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
16th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
17th鐵人賽
2019鐵人賽
javascript
2018鐵人賽
python
2017鐵人賽
windows
php
c#
windows server
linux
css
react
熱門問題
Esxi 8.0版本上的虛擬機器, 安裝的作業系統是Windows Server 2025, 確定輸入的密碼是正確的, 無法登入(顯示密碼錯誤)
【求助】顯卡/主板 支援 PCIe4.0 為何 Host to Device (H2D) 只剩 Gen1 速度 (0.5 GB/s) ?
請問今天鐵人賽的發文系統是否故障?
Windows GPO Bitlocker
HP iLo Advanced trial license
在線求大神,千奧軟體主機怎麼安裝
Docker Compose 建立 GitLab 容器,執行器 Runner 運行流水線問題
windows server無法使用gpedit.msc
Java證照題目(main() method)
因為網路磁碟的關係造成系統自動重新開機
熱門回答
Esxi 8.0版本上的虛擬機器, 安裝的作業系統是Windows Server 2025, 確定輸入的密碼是正確的, 無法登入(顯示密碼錯誤)
因為網路磁碟的關係造成系統自動重新開機
Windows GPO Bitlocker
【求助】顯卡/主板 支援 PCIe4.0 為何 Host to Device (H2D) 只剩 Gen1 速度 (0.5 GB/s) ?
windows server無法使用gpedit.msc
熱門文章
第30天,完賽心得 / 葉家藥燉排骨 在地排隊美食(新北板橋)| 30天滷肉飯
[為你自己學 n8n] 第 3 天,打開控制台,認識你的自動化駕駛艙!
第4天,數位憑證的產生 / 中崙張記藥膳排骨 排骨讚(台北松山)| 30天滷肉飯
第4天,Cloudflare Public DNS 與 WARP / 滷小小 美味的滷味 | 30天板橋湳雅夜市
第3天, 公鑰與私鑰 / 一甲子餐飲 都是韓國人在吃(台北萬華)| 30天滷肉飯
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}