安科网

web框架--XSS攻击和CSRF请求伪造

zhuangnet

zhuangnet

2019-12-20

关注 关注

XSS

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。

tornado中已经为我们给屏蔽了XSS,但是当我们后端向前端写前端代码的时候传入浏览器是字符串,而不是形成代码格式。所以就需要一个反解,在传入模板语言中前面加一个raw,例如{% raw name %}

class IndexHandler(tornado.web.RequestHandler):
    def get(self, *args, **kwargs):
        jump = ‘‘‘<input type="text"><a onclick = "Jump(‘%s‘,this);">GO</a>‘‘‘%(‘/index/‘)
        script = ‘‘‘
            <script>
                function Jump(baseUrl,ths){
                    var val = ths.previousElementSibling.value;
                    if (val.trim().length > 0){
                        location.href = baseUrl + val;
                    }
                }
            </script>
        ‘‘‘
        self.render(‘index.html‘,jump=jump,script=script)  #传入两个前端代码的字符串

start.py

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <style>
        .pager a{
            display: inline-block;
            padding: 5px;
            margin: 3px;
            background-color: #00a2ca;
        }
        .pager a.active{
            background-color: #0f0f0f;
            color: white;
        }
    </style>
</head>
<body>
    <div class="pager">
        {% raw jump %}
        {% raw script%}
    </div>
</body>
</html>

index.html

CSRF

CSRF(Cross-site  request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
当前防范 XSRF 的一种通用的方法,是对每一个用户都记录一个无法预知的 cookie 数据,然后要求所有提交的请求中都必须带有这个 cookie 数据。如果此数据不匹配 ,那么这个请求就可能是被伪造的。

Tornado 有内建的 XSRF 的防范机制,要使用此机制,你需要在应用配置中加上 xsrf_cookies 设定:xsrf_cookies=True

简单来说就是在form验证里面生成了一段类似于自己的身份证号一样,携带着他来访问网页

#!/usr/bin/env python
# -*- coding:utf-8 -*-

import tornado.web
import tornado.ioloop

class CsrfHandler(tornado.web.RequestHandler):

    def get(self, *args, **kwargs):
        self.render(‘csrf.html‘)

    def post(self, *args, **kwargs):
        self.write(‘已经收到客户端发的请求伪造‘)


settings = {
    ‘template_path‘:‘views‘,
    ‘static_path‘:‘statics‘,
    ‘xsrf_cokkies‘:True,        # 重点在这里,往这里看
}

application = tornado.web.Application([
    (r‘/csrf‘,CsrfHandler)
],**settings)

if __name__ == "__main__":
    application.listen(8888)
    tornado.ioloop.IOLoop.instance().start()

start.py

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form action="/csrf" method="post">
        {% raw xsrf_form_html() %}
        <p><input name="user" type="text" placeholder="用户"/></p>
        <p><input name=‘pwd‘ type="text" placeholder="密码"/></p>
        <input type="submit" value="Submit" />
        <input type="button" value="Ajax CSRF" onclick="SubmitCsrf();" />
    </form>
    
    <script src="/statics/jquery-1.12.4.js"></script>
    <script type="text/javascript">

        function ChangeCode() {
            var code = document.getElementById(‘imgCode‘);
            code.src += ‘?‘;
        }
        function getCookie(name) {
            var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
            return r ? r[1] : undefined;
        }

        function SubmitCsrf() {
            var nid = getCookie(‘_xsrf‘);
            $.post({
                url: ‘/csrf‘,
                data: {‘k1‘: ‘v1‘,"_xsrf": nid},
                success: function (callback) {
                    // Ajax请求发送成功有,自动执行
                    // callback,服务器write的数据 callback=“csrf.post”
                    console.log(callback);
                }
            });
        }
    </script>
</body>
</html>

index.html

xss csrf

zhuangnet

zhuangnet

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

CSRF跨站请求伪造与XSS跨域脚本攻击讨论

今天和朋友讨论网站安全问题,聊到了csrf和xss,刚开始对两者不是神明白,经过查阅与讨论,整理了如下资料,与大家分享.登录受信任网站A,并在本地生成Cookie。在不登出A的情况下,访问危险网站B。    <input type=‘hidden‘

码农成长记 2020-05-10

如何避免CSRF攻击?

如何避免CSRF攻击?CSRF跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本,但它与XSS非常不同,XSS利用站点内的信任用户,而CS

layloge 2020-05-03

常见web安全问题,SQL注入、XSS、CSRF,基本原理以及如何防御

而以分号字元为不同命 令的区别。等 的条件式)2).SQL命令对于传入的字符串参数是用单引号字元所包起来。3).SQL命令中,可以注入注解预防:1).在设计应用程序时,完全使用参数化查询来设计数据 访问功能。4).其他,使用其他更安全的方式连接SQL数据

sunlizhen 2020-04-10

对xss攻击和csrf攻击的理解

用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。发出请求时,XSS代码出现在url中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,所以叫反射型X

码农成长记 2020-03-23

简述XSS与CSRF区别

    通常这一类xss危害较低,对网站没有什么严重的影响,具体表现在用户在搜索框输入xss语句返回弹框,仅出现一次。    存储型对网站危害较大,用户插入xss语句后,恶意语句会存入网站数据库中,用户访问过程都会出现弹框。XSS与CSRF是包含关系 CS

zhuangnet 2020-02-26

web安全(xss攻击和csrf攻击)

  如上图,在B网站引诱用户访问A网站,  1)token验证:登陆成功后服务器下发token令牌存到用户本地,再次访问时要主动发送token,浏览器只能主动发cookie,做不到主动发token.   不需要你做任何的登录认证,它会通过合法的操作,向你的

waitui00 2020-02-14

防XSS攻击过滤器

private const string strRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*

sswqycbailong 2020-07-28

xss防范小知识

在Web安全中,xss攻击绝对算是一种非常常见的攻击方式了,它能够窃取用户的隐私信息,比如cookie,也能够做一些非用户意图的操作来达到攻击目的。xss攻击是一种非法脚本的插入与执行攻击,全称为 cross site script ,即跨站脚本攻击。通常

csxiaoqiang 2020-07-26

xss.haozi.me 练习

先打算从比较方便的可以在线的练习开始,所以并没有用最常用的DVWA,而就直接用的在线的这个xss靶场开始。服务端仍然没有进行过滤,只是这次的输出并不是直接输出,而是加入在textarea中,所以现将其闭合在输出即可。对于<textarea>标签

码农成长记 2020-07-19

极致CMS两处漏洞复现/存储xss/文件上传Getshell

根据一路追踪发现目录A是网站目录的后台文件,后端文件审计没问题来看看前端文件tql代码审计发现是问题出现在前端文件article-list.html内的问题191行这里这里没有实体化编码导致的后台存储xss漏洞输出函数未经过滤没有实体化编码。{field:

layloge 2020-07-05

百度编辑器(ueditor)踩坑,图片转存无法使用

在使用 百度编辑器 的过程中碰到了一些问题,图片转存功能无法使用, 即便是疯狂地在官方 Demo、文档、论坛甚至是 GitHub 上也没找到理想的答案。问题描述默认情况下,从 Word 中复制的内容粘贴在编辑器时,图片不会自动上传保存,除非单独复制粘贴图片

layloge 2020-06-26

Web前端必备基础知识点分享

今天跟新手朋友们分享Web前端必备基础知识点,希望对你们有所帮助!一来可以提高后端处理的效率,二来可以提高后端数据的安全。后端不要动态sql语句,使用存储过程查询语句。限制用户访问数据库权限。后端如果出现异常的话,要使用自定义错误页,防止用户通过服务器默认

liangjielaoshi 2020-06-25

java 拦截器解决xss攻击

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者

csxiaoqiang 2020-06-16

XSS BOT编写

而它支持chrome webdriver、firefox webdirver、PhantomJS等,但是呢前2个就需要有桌面,而我们的docker环境是没有桌面的,所以就只能选择PhantomJS了。$sql = "SELECT password

某先生 2020-06-13

StringEscapeUtils的常用使用,防止SQL注入及XSS注入

StringBuffer sql = new StringBuffer("select key_sn,remark,create_date from tb_selogon_key where 1=1 "); if(!

ItBJLan 2020-06-11

了解 OWASP TOP 10

输入时将一些包含指令的数据发送给解析器,解释器当成命令执行。xss会执行攻击者在浏览器中执行的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用xss还可以执行拒绝服务攻击。同时,使用这些组件会破坏应用程序防御,造成各种攻击产生严重的后果。

layloge 2020-06-07

XSS漏洞的基本原理

XSS,跨站脚本攻击。它指的是恶意攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。反射型XSS也被称为非持久性XSS,攻击

csxiaoqiang 2020-06-03

xss(跨站脚本攻击)

  xss造成的原因是因为对用户插入的数据没有进行过滤,导致用户可以上传一些非法数据,对服务器数据进行盗取。  xss的形成一定是伴随着输入和输出的。

sswqycbailong 2020-06-01

XSS Challenges 记录与反思

XSS Challenges是出自某位日本大佬之手,一共十九关。我没有完全记录下来,前八关基本上不怎么需要思考就能做出来的,方法也不止一种。第九关是利用UTF-7并且对ie版本号有要求也不具体操作了,网上有很多关于这个挑战的教程,想了解的可以多看看。也是需

layloge 2020-05-30

XSS跨站脚本攻击

XSS全称跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在

码农成长记 2020-05-28
zhuangnet

zhuangnet

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号