PHP csrf 공격과 xss 공격의 차이점

CSRF의 기본 개념, 약어 및 전체 이름

CSRF(Cross -사이트 요청 위조): 교차 사이트 요청 위조. (추천학습: PHP 동영상 튜토리얼)

PS: 중국어 이름을 꼭 기억하세요. 영어 이름 전체가 기억나지 않으면 잊어버리세요.

CSRF 공격원리

사용자는 A사이트에 등록된 사용자로 로그인하였으므로 A사이트는 해당 사용자에게 쿠키를 발급합니다.

위 그림에서 볼 수 있듯이 CSRF 공격을 완료하려면 피해자는 두 가지 필수 조건을 충족해야 합니다.

#🎜🎜 #(1) 신뢰할 수 있는 웹사이트 A에 로그인하고 로컬에서 쿠키를 생성합니다. (사용자가 A 사이트에 로그인되어 있지 않은 경우 유도 과정에서 A 사이트의 API 인터페이스를 요청하면 B 사이트에서 로그인하라는 메시지가 표시됩니다.)

(2) A 사이트에서 로그아웃하지 않고 방문합니다. 위험한 웹사이트 B(실제로 웹사이트 A의 취약점을 악용)

CSRF에 관해 이야기할 때 위의 두 가지 점을 분명히 해야 합니다.

참고로 쿠키는 사용자가 로그인할 수 있도록 보장하지만 웹사이트 B는 실제로 쿠키를 얻을 수 없습니다.

XSS의 기본 개념

XSS(Cross Site Scripting): 크로스 도메인 스크립팅 공격.

XSS 공격 원칙

XSS 공격의 핵심 원칙은 로그인 인증을 수행할 필요가 없다는 것입니다. 법적 작업(예: URL 입력, 설명 상자 입력), 페이지에 스크립트 삽입(예: js, hmtl 코드 블록 등).

최종 결과는 다음과 같습니다.

쿠키를 훔쳐 페이지의 정상적인 구조를 파괴하고, 광고 및 기타 악성 콘텐츠를 삽입합니다. D-doss 공격#🎜 🎜#

CSRF와 First의 차이점 웹사이트 A에 로그인하여 쿠키를 얻습니다. XSS: 로그인이 필요하지 않습니다.

차이 2: (원칙적 차이)

CSRF: 웹사이트 A 자체의 취약점을 이용하여 웹사이트 A의 API를 요청합니다. XSS: 웹사이트 A에 JS 코드를 삽입한 다음 JS에서 코드를 실행하여 웹사이트 A의 콘텐츠를 변조합니다.

위 내용은 PHP csrf 공격과 xss 공격의 차이점의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!