xss 跨站脚本攻击

恶意用户将代码(主要是js)植入到提供给其它用户使用的页面中

主要有3种方式

• 反射式漏洞:未经验证的用户数据被包含在页面中而未经HTML实体编码，js便能够注入到动态页面中,例如:url传参数
• 存储式漏洞:恶意用户将js上传到Web服务器上,如果没有经过encode,则可以盗走其他用户的cookies等信息
• 本地利用漏洞:HTML中包含了电脑本地执行的js,恶意用户在电脑上执行用户所持有的权限

csrf 跨站请求伪造

也被称为"One Click Attack"或者Session Riding
CSRF通过伪装成受信任用户来请求网站

贴图:通过src可以携带cookie,诱导用加载图片,此时是伪造get请求
一个存在问题的blog，那就先去目标blog留言，留下一个网址，诱其主人点击过来（这个就要看你的忽悠本事咯），然后构造个HTML表单提交些数据过去,这时可以伪造post请求

最后更新于 2019-06-10 16:18:39 并被添加「CSRF xss 攻击」标签，已有 648 位童鞋阅读过。

相关文章

• CSRF攻击