一. 問:xss 和 csrf 到底有的不同怎么理解
你可以能會問雀久,xss, 和 csrf 都是 1. 用戶點擊鏈接作為必要的觸發(fā)途徑, 2. 執(zhí)行了script腳本文件 那么他們到底有什么不同呢彬碱。
答: 從 3 個方面分析玄捕。
-
先從名字看分析皱卓。
XSS: 跨站腳本攻擊,csrf: 跨站請求偽造坝橡。- 這兩個都涉及到跨域請求,例如征字,你點擊的惡意鏈接, 看的惡意網(wǎng)站都弹,都是從另一個和目的站點不同的 域發(fā)起的工具。
- XSS 被攻頁面執(zhí)行了惡意的腳本匙姜,并彈出畅厢,顯示等( 在頁面層面 )
狹義理解:執(zhí)行了腳本,不發(fā)送接口請求氮昧,為了獲取用戶身份 - csrf 攻擊者模擬一個正常的用戶請求框杜,像后端發(fā)送了接口請求 (接口層面)
狹義理解:發(fā)出了接口請求,無需獲取用戶身份信息
-
從攻擊的途徑進(jìn)行分析
-
XSS: 在頁面上執(zhí)行了 惡意腳本袖肥,黑客的多數(shù)目的都是為了 通過腳本獲取 用戶的 cookie 信息(
通過腳本向黑客的站點發(fā)送用戶信息)
黑客的目標(biāo)就是為了獲取你的身份信息示例:你逛某個博客咪辱,博客底部有人留言一個鏈接,指向 github 的鏈接(連接中帶有 惡意的 alert script 腳本椎组,你點擊留言的鏈接梧乘,頁面跳轉(zhuǎn)到 github 后彈出了彈框)
-
CSRF: 用戶已經(jīng)登錄,黑客通過惡意腳本生成可用的接口庐杨,請求服務(wù)器數(shù)據(jù)( 比如刪除文章,轉(zhuǎn)載郵件等 )
黑客無須知道你的身份信息( 因為你就在已經(jīng)登錄的環(huán)境值執(zhí)行接口 )示例:你收到一封 iPhone 免費送的郵件( 這時候你已經(jīng)登錄 gmail 郵箱了 )夹供, 這封郵件中有一個鏈接灵份,你點擊連接后黑客遠(yuǎn)程下載一個腳本并執(zhí)行( 模擬gmail 的刪除全部郵件的接口), 然后你看到自己當(dāng)前的郵件全部被刪除了
說明:黑客模擬的接口和 gmail 的接口完全一樣,因為你在自己的郵箱中哮洽,所以可以直接獲取到自己的登錄信息
-
‘填渠;
