记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

XSS 和 CSRF 攻击的一些非常规防御方法

一说到安全,大家总会特别敏感,尤其是有相当部分的前端开发者并不了解安全相关的知识,颇有谈虎色变的感觉。具体到前端安全这个话题呢,又有些说不清道不明,因为大部分的防御方案,总少不了后端的参与,也有开发者慢慢觉得好像安全都应该由后端来关注了。其实不然,起码 XSS CSRF 这一类的安全问题前端是一定要了解它们的原理和防御方法的。从防御方法上来说,XSS 和 CSRF 的防御在业界都有比较成熟的方案了。本文将记录一些比较新的防御方案,可能有一些比较老的书籍或者文章中不会提及这些方法。XSSXSS 全称 Cross Site Scripting ,跨站脚本攻击,因为 CSS 这名字老早就被样式表拿走了,大家都在 web 这个领域,重名又不好看,所以只好起了个名字叫 XSS 了。说实话从 XSS 干的事来讲,其实并不太
发布时间:2017-05-28 15:40 | 阅读:137914 | 评论:0 | 标签:xss CSRF

常见网络攻击--XSS && CSRF

XSSXSS全称跨站脚本攻击(Cross Site Scripting),顾名思义,就是通过向某网站写入js脚本来实现攻击。如果熟悉或了解SQL注入的话,这么一说大概就十分清楚了。如果是刚接触web开发的同学,可能乍想不明白,自己的网站,别人如何写入js脚本?开发中也会忽视容易被注入的点,导致XSS漏洞。常见攻击形式1. 非持久型攻击有些网站的网页内容与url参数相关,比如很多搜索结果页。如搜狗搜索xss: https://www.sogou.com/web?query=xss 。那么网页中将存在会大量的a标签中带有 query=xss 。假如搜狗不给参数做任何安全处理,此时只要把 query=xss 改成 query=xss"a/
发布时间:2017-05-28 15:40 | 阅读:137094 | 评论:0 | 标签:xss CSRF

在线免费的前端黑工具 XSS’OR

这是一个在线免费的前端黑工具,目前主要包含 3 大模块: 1. Encode/Decode 加解密模块,包含:前端黑相关的加解密,代码压缩、解压、美化、执行测试,字符集转换,哈希生成,等。 2. Codz 代码模块,包含:CSRF 请求代码生成,AJAX 请求代码生成,XSS 攻击矢量,XSS 攻击 Payload,等。 3. Probe 探针模块,为了平衡,这是一个最基础的探针,且每个 IP 每天都可以生成一个唯一探针,使用者可以用这个探针发起攻击测试(如:XSS、钓鱼攻击等),探针可以获取目标用户的基本信息,使用者还可以动态植入更多的命令(JavaScript Codz)进行“远控”测试。 一些用户体验与隐私考虑: XSS’OR,即使你浏览器不小心关掉或奔溃,你的记录也不会丢,因为相关记录都缓存
发布时间:2017-05-19 18:00 | 阅读:131157 | 评论:0 | 标签:Web Hack CSRF XSS XSS'OR xss

看我如何绕过Lastpass双因素验证机制

在某次红队测试中,我发现了一种在Lastpass中绕过双因素验证(2FA)的方法。不幸的是,这一发现是在Tavis Ormandy曝光Lastpass远程命令执行漏洞之前,否则会节省我许多时间。但无论如何,2FA是一层额外的安全防护,主要用来保护用户帐户免受那些已经破解了密码的攻击者对你发起攻击。当你在使用账号密码登录所需要的服务时,往往都会在获得访问权限之前,面临一个挑战——一个每30秒更改一组6位数的临时代码。比如Google验证器、Authy和Toopher这些基于RFC6238和RFC4226的2FA方案,Lastpass也同样支持。临时代码是基于几个变量生成,包括秘密种子(secret seed)和时间戳。秘密种子能够使其安全和独特,而时间则是使其以30秒的间隔更改。服务器需要与客户端共享秘密种子,以
发布时间:2017-04-26 17:40 | 阅读:138523 | 评论:0 | 标签:技术 CSRF 双因素验证

Facebook和Dropbox中的CSRF漏洞分析

Facebook和Dropbox中的CSRF漏洞分析。Facebook给用户提供了一个非常方便的功能,而用户可以通过这个选项直接从Dropbox账号中加载文件:这个功能将允许用户直接在浏览器窗口查看并上传Dropbox账号中的文件:这种功能性的整合是通过OAuth 2.0协议的一个变种版本实现的,具体可参考这篇文章【传送门】。注:OAuth是一种符合国际互联网工程任务组(IETF)标注的访问代理协议。OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了开发人员的时间,因而
发布时间:2017-04-16 02:45 | 阅读:92613 | 评论:0 | 标签:CSRF 漏洞

Facebook上一个有趣的CSRF

Facebook的群组提供了直接从Dropbox账户上传文件的功能,这种功能是使用了OAuth 2.0协议实现的。并且存在传统的OAuth CSRF漏洞。 介绍 Facebook群组提供直接从Dropbox帐户上传文件的功能: 这将允许通过浏览器浏览Dropbox帐户 然后将特定文件发布到Facebook群组。这个功能是使用OAuth 2.0协议修改而成的。但是OAuth是IETF规范化的访问授权协议。 典型的OAuth流程如下图所示: 通常,客户端启动OAuth的流程如下: 然后资源所有者授权服务器将资源重定向到具有授权码的客户端: OAuth认证和授权的过程如下: 1、用户访问第三方网站网站,想对用户存放在服务商的某些资源进行操作。 2、第三方网站向服务商请求一个临时令牌。 3、服务商验证第三方网
发布时间:2017-04-14 17:35 | 阅读:108336 | 评论:0 | 标签:WEB安全 漏洞 CSRF漏洞利用 CSRF

【技术分享】Facebook和Dropbox中的CSRF漏洞分析(含演示视频)

2017-04-12 15:23:04 来源:intothesymmetry.com 作者:WisFree 阅读:1575次 点赞(0) 收藏 翻译:WisFree预估稿费:150RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
发布时间:2017-04-13 00:55 | 阅读:94690 | 评论:0 | 标签:CSRF 漏洞

Redis CSRF漏洞分析及防范措施

Redis CSRF漏洞分析近日有网友暴漏了Redis的CSRF漏洞,同时Redis作者在最新发布的3.2.7也进行了修复,本文将对CSRF攻击及如何安全使用Redis进行介绍。阿里云云数据库Redis版强制需要密码访问,不受该漏洞影响,而对于自建Redis用户可以根据后续的一个建议措施进行修复。CSRF介绍CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。上图为CSRF攻击的一个简单模型用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网站A之间可能已经有信任关系导致这个请求就像用户真实发
发布时间:2017-02-06 15:20 | 阅读:121233 | 评论:0 | 标签:CSRF 漏洞

CSRF配合XSS打cookie

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,CSRF可以对无token验证码的页面构造代码进行攻击 XSS跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 以下为了方便就录制了一个教程 点击跳转 密码: a2fn
发布时间:2017-02-03 22:45 | 阅读:197985 | 评论:0 | 标签:安全文章 xss CSRF

一种新型蠕虫:花瓣CORSBOT蠕虫

新年新气象,这个蠕虫我做了小范围测试,也提交了官方修复,小圈子里做了分享,这里正式对外公布下,出于研究而非破坏为目的,供大家参考。 IAMANEWBOTNAMEDCORSBOT ——-BOT PoC——- http://evilcos.me/lab/IAMANEWBOTNAMEDCORSBOT.TXT 完整代码直接见上面这个链接即可。 里面需要特别注意的两个点: Conten-Type是JSON Origin是:huaban.com.al3rt.io,这个小技巧直接绕过花瓣的Origin判断 所以,蠕虫得以传播。 本质是:CORS(Cross-Origin Resource Sharing)的滥用导致,效果图: 最后,友情提示下:这个问题还是比较普遍的。脑洞
发布时间:2017-01-29 14:15 | 阅读:161559 | 评论:0 | 标签:Web Hack CORS crossdomain CSRF HTML5 JS Worm

新浪微博CSRF事件解析(攻击脚本和流程分析)

 新浪微博CSRF事件解析(攻击脚本和流程分析)。最近sina 微博受到了大规模的xss攻击事件,多个用户收到了如下图所示消息,并且自动添加了昵称为hellosammy,uid为2201270010用户,并且给自己所关注的用户发送了同样的私信。从上图可以看出,攻击者是利用sina名人堂weibo.com/pub/star的跨站脚本漏洞而引发了这次类似蠕虫性质的CSRF攻击方式。hacker给受害者发送一个带有可执行脚本的url,受害者点击链接,发送http get请求,由于请求是由已通过身份认证登录平台的用户发出,所以网站信任这个链接,并执行。之所以称为蠕虫式病毒,因为其快速的传播型,下面我们从跨站脚本来分析这种传播型。//创建一个XHR对象,不了解的同学可以参照blog中关于AJAX
发布时间:2017-01-28 15:45 | 阅读:111117 | 评论:0 | 标签:CSRF

CSRF攻击原理及预防手段

CSRF攻击原理及预防手段。 CSRF全程 Cross Site Request Forgery, 跨站域请求伪造.这种攻击方式相对于XSS,SQL注入等攻击方式比较晚被发现,今天就来讲解下这种攻击方式以及避免方式.攻击过程 假设abc用户登录银行的网站进行操作, 同时也访问了攻击者预先设置好的网站. abc点击了攻击者网站的某一个链接,这个链接是 http://www.bank.com/xxxx 指向银行,银行服务器会根据这个链接携带的参数会进行转账操作. 银行服务器在执行转账操作之前会进行SESSION验证是否登录, 但是由于abc已经登录了银行网站,攻击者的链接也是 www.bank.com .所以攻击的链接就会携带session id到银行服务器. 由于session id是正确的,所以
发布时间:2017-01-28 15:45 | 阅读:98025 | 评论:0 | 标签:CSRF

【技术分享】使用Burp的intruder功能测试有csrf保护的应用程序

2017-01-09 16:54:47 来源:nvisium.com 作者:王松_Striker 阅读:3248次 点赞(0) 收藏 作者:王松_Striker预估稿费:170RMB(不服你也来投稿啊!)投稿方式:发送邮件至linwei#360.cn,或
发布时间:2017-01-10 10:05 | 阅读:168510 | 评论:0 | 标签:CSRF

再谈网络安全CSRF攻击应对之道

关于 CSRF 的攻击防御,网上已经给出了很多答案,我推荐 《CSRF 攻击的应对之道》。文章列举了三种方法,我就其中一种方法——在请求地址中添加 token 并验证,进行了改造,使它更符合我的需求。下面将详细记录改造的过程。判断是否登入通过 session 来判断用户是否登入,对已登入用户的操作进行保护看起来是最符合逻辑的方案。因为未登入时的操作均为公开属性。但是,如果网站采用了负载均衡,两台或更多服务器,session 中的 token 就不一样了,除非实现 session 共享。若解决上一个问题的方法会引发一个新问题,我通常建议放弃这个方法。一般情况下,网站都会为已登入和未登入的类型分配不一样的权限和接口,比如:只有登入的用户才能发帖、修改个人信息。我们可以只保护这
发布时间:2016-12-05 12:20 | 阅读:124864 | 评论:0 | 标签:CSRF

[PRE]CSRF攻击-进击的巨人

计划准备出一个PPT专门讲解CSRF里的各种奇技淫巧,除了那些老套的手法之外: https://github.com/evilcos/papers 我公布的Papers里有个PPT是《CSRF攻击-苏醒的巨人》,可以参考。 还包括以前提的Flash CSRF/XSF等方式,细节可以温习去年我的Paper(隐蔽的战场—Flash Web攻击),希望Flash是日不落帝国,虽然现在快日落了,但是不影响我们的最后挣扎。 除了这些,当然会有新的玩意,比如JSON Hijacking就一直在进化。还有去年很火的WormHole,这是JSON Hijacking本地攻击的一种延伸,点击下这个试试: http://evilcos.me/lab/pac.html 探测你本地是否用Shadowsocks,当然你即使用了也不一定会
发布时间:2016-12-02 23:55 | 阅读:130648 | 评论:0 | 标签:Web Hack CORS crossdomain CSP CSRF Flash JS JSONP Worm

玩转CSRF之挖洞实例分享

本文首发i春秋论坛,原创作者:0h1in9e . 未经许可,禁止转载 0x01 前言 最近在挖SRC的时候经常遇到一些CSRF漏洞,发现其实掌握原理之后很容易挖到关于CSRF的漏洞。在平时的漏洞挖掘中,CSRF也没有太高的门槛,对于技术的要求也没那么高;另外,现在互联网上的CSRF漏洞还是相对较多的,就连一些大厂商SRC去挖的时候也能遇到一些CSRF漏洞,挖掘起来技术难度不高。另外,此篇难度不高,大牛请绕道。 0x02 CSRF简介 CSRF(Cross-site request forgery),跨站请求伪造。和XSS比较相似,但又不尽相同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。说白了,就是攻击者恶意构造了网站的某些操作,引诱用户去点击,从而在用户不知情的
发布时间:2016-12-02 20:00 | 阅读:136984 | 评论:0 | 标签:CSRF

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云