Információ - xss és csrf különbség és cselekvés elve, ru-szféra védelmi kutatások és viták

Szeretnék felvetni egy ilyen témát, mint az XSS és a CSRF védelmét, és azt is, hogy mi az.

Világos, hogy a webmester védelmet nyújt az ilyen támadásokkal szemben. ott adatszűrés, szerver beállítás és mások, de mindazonáltal a felhasználó nem is rossz gondolatvédelmet, mindegy, ezek a támadások megy a felhasználó, nem a szerver vagy a szkriptet.

XSS (angol kereszthelyi parancsfájlkészítés)
Ez a támadás ismert résekkel foglalkozik a webes alkalmazásokban, szerverekben (vagy a hozzájuk kapcsolódó rendszercsatolásoknál).

Ennek a támadásnak az a jelentése, hogy beágyazza a rosszindulatú kódot, és végrehajtja azt az áldozatról, így ellophat cookie-kat, futtathatja a CSRF-et (lásd alább).

Általában az XSS támadások meglehetősen kiterjedtek, nincs értelme itt megnézni, mert ugyanabban a wikiben olvashatsz, meg kell értened, hogy az XSS a kód beágyazása és az áldozat általi végrehajtás, például:

Ha az áldozat rákattint a linkre, akkor a sérülékeny webhelyen fertőzés fog felmerülni, lehet, hogy állandó XSS is létezik, amelyre nem kell kattintania, csak menjen egy sebezhető webhelyre.

Tekintsük most a CSFR kifejezést:

CSRF (English Cross-Site Request Forgery - "Cross-Site Request Forgery", más néven XSRF)

A lényeg az, hogy a felhasználó nevében végezzen semmilyen műveletet.

Sajnos néhány webhely védett az ilyen támadásoktól, de ez nem XSS, bár a CSFR-t gyakran használják az XSS működéséhez, például:

Például, ha az XSS itt található a fórumon, akkor létrehozhat témákat, leveleket stb. Ezen XSS-en keresztül az áldozat nevében.

Például az Alice felhasználó megtekintheti azt a fórumot, ahol egy másik felhasználó, Mallory, elküldte az üzenetet.

Legyen Mallory egy címkét , amelyben a kép forrása az URL, navigáció közben az akció az Alice Bank honlapján történik, például:

4) Bővítmények és bővítmények folyamatos frissítése, különösen az Adobe, mert az XSS böngészőkben lehet. ;