XSS攻击:web
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,浏览器
故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。服务器
XSS攻击分红两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。
另外一类则是来自外部的攻击,主要指的本身构造XSS跨站漏洞网页或者寻找非目标机之外的有跨站漏洞的网页。如当咱们要渗透一个站点,咱们本身构造一个有跨站漏洞的网页,而后构造跨站语句,经过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。cookie
CSRF攻击:网站
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,一般缩写为CSRF或者XSRF,是一种对网站的恶意利用。代理
尽管听起来像跨站脚本(XSS),但它与XSS很是不一样,XSS利用站点内的信任用户,而CSRF则经过假装来自受信任用户的请求来利用受信任的网站。orm
与XSS攻击相比,CSRF攻击每每不大流行(所以对其进行防范的资源也至关稀少)和难以防范,因此被认为比XSS更具危险性。图片
攻击经过在受权用户访问的页面中包含连接或者脚本的方式工做。事务
例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另外一个用户Alice也在此论坛中,而且后者刚刚发布了一个具备Bob银行连接的图片消息。ip
设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的连接,并将此连接做为图片src。若是Bob的银行在cookie中保存他的受权信息,而且此cookie没有过时,
那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie,这样在没经Bob赞成的状况下便受权了此次事务。
CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deputy attack)。在上面银行示例中的代理人是Bob的web浏览器,它被混淆后误将Bob的受权直接交给了Alice使用。下面是CSRF的常见特性: 依靠用户标识危害网站 利用网站对用户标识的信任 欺骗用户的浏览器发送HTTP请求给目标站点 另外能够经过IMG标签会触发一个GET请求,能够利用它来实现CSRF攻击。