CSRF和SSRF原理、区别、防御方法

已于 2023-12-27 09:40:25 修改
阅读量1.9k 收藏 28
点赞数 17
分类专栏: 漏洞 网络安全 面试题 文章标签: 漏洞 网络安全
于 2023-12-26 09:28:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76786857/article/details/135213778
版权
网络安全 同时被 3 个专栏收录
185 篇文章 5 订阅
订阅专栏
漏洞
30 篇文章 0 订阅
订阅专栏
面试题
8 篇文章 0 订阅
订阅专栏

CSRF(Cross-Site Request Forgery)原理:CSRF是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。它是一种利用用户在已登录的网站中提交非法请求的行为,攻击者通过伪造用户提交的请求,将恶意请求发送至受信任的网站,导致用户在不知情的情况下执行恶意操作。

SSRF(Server Side Request Forgery)原理:SSRF是一种服务器端请求伪造的安全漏洞。它是由攻击者构造形成,由服务端发起的请求。由于服务端对用户提供的可控URL地址过于信任,没有经过严格检测,攻击者可以以此为跳板攻击内网或其他服务器。

两者区别:CSRF是用户端发起请求,攻击者利用用户的Cookie信息伪造用户请求发送至服务器;而SSRF是服务端发起的请求,攻击者通过构造指定URL地址获取网页文本内容、加载指定地址的图片、下载等方式,利用存在缺陷的Web应用作为代理攻击远程和本地的服务器。

在防御方面,可以采用以下方法:

1.禁止跳转;

2.过滤返回信息,验证远程服务器对请求的响应是否符合标准;

3.禁用不需要的协议,如file://, gopher://, ftp://等;

4.设置URL白名单或限制内网IP(使用gethostbyname()判断是否为内网IP);

5.限制请求的端口为http常用的端口,例如80、443、8080、8090等;

6.统一错误信息,避免用户根据错误信息判断远端服务器的端口状态。

廾匸0705
关注
  • 17
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SSRF与CSRF
qq_48829044的博客
06-19 1651
ssrf的基础知识
Python Django框架防御CSRF攻击的方法分析
12-31
本文实例讲述了Python Django框架防御CSRF攻击的方法。分享给大家供大家参考,具体如下: 项目名/settings.py(项目配置,csrf中间件配置): MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware....
SSRF和CSRF
m0_56135391的博客
04-12 375
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) 简单来说,网站对于跳转重定向的网址没有进行严格的过滤,攻击者就可以利用构造的恶意链接,诱惑用户在访问某一页面时点击该链接,从而达到渗透到内网的目的。 CSRF:跨站请求伪造 挟制用户在当前已登录的Web应用程序上执行非本意.
CSRF漏洞SSRF漏洞
最新发布
默默的博客
05-08 930
中文简称:跨站请求伪造,重点主要是在跨站以及伪造两个上。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF是跨站请求伪造,不攻击网站服务器,而是冒充用户在站内的正常操作。存在原因:通常是由于服务端没有对请求头做严格过滤引起的。后果:CSRF会造成密码重置,用户伪造等问题,可能会引发严重后果。这段代码根据请求的内容类型(JSON或表单数据)灵活处理密码变更的请求,提取出必要的参数(用户令牌、新密码、确认密码,以及一个疑似触发变更操作的标志)。
CSRFSSRF区别
m0_72372037的博客
12-04 441
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。
详谈SSRF与CSRF区别
唯以的博客
03-11 5429
CSRF (Cross-site request forgery,跨站请求伪造),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF称跨站请求伪造,XSS就是CSRF中的一种。二者区别,XSS利用的是用户对指定网站的信任,CSRF利用是网站对用户浏览器的信任。 发生条件 当用户在安全网站A登录后保持登录的状态,并在此时浏览了保存有恶意代码的另一个网站B。此时B站劫持用户的浏览器并以用户以登录的状态对A站发送非用户本人的操作。当服务端没有对这次
csrfssrf的区别,攻击如何防护
白帽子凯哥聊黑客
12-14 2150
CSRF(跨站请求伪造)和SSRF(服务器端请求伪造)都是网络安全中的常见攻击类型,但它们的目标和攻击方式有所不同。理解这两种攻击的区别对于有效地防御它们至关重要。CSRFSSRF的主要区别在于攻击的发起者和目标。CSRF利用了用户的浏览器来攻击用户已经认证的Web应用,而SSRF直接利用了服务器端应用来发起对其他系统的请求。两者都需要通过严格的输入验证和适当的安全措施来防御。 目标:CSRF攻击目标是利用网站用户的浏览器,迫使用户在已认证的Web应用中执行非预期的操作。工作原理:攻击示例:防御措施:目标
CSRF的理解以及跟SSRF的区别
一杯咖啡的渗透记忆
04-26 8480
CSRF理解: CSRF概念: CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其中We...
CSRFSSRF详解
剁椒鱼头没剁椒的博客
11-29 4698
  CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。   CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。  1)首先用户登录网站,并且生产本地的cookie。   2)用户在未登陆出网站的时候,访问攻击者构建的恶意网站。   当然若你关闭网站去访问恶意网站就会避免该问题,但不是绝对的,相信在日常使用中都会存在浏览器同时打开多个页面,很少说有人去访问一个网站的时候把另外的网
CSRFSSRF
bossDDYY的博客
07-27 1480
CSRFSSRF
简解:CSRF原理防御
04-06
简解:CSRF原理防御
SpringSecurity框架下实现CSRF跨站攻击防御方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
CSRF的攻击与防御
02-26
这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
渗透测试-一文读懂XSS、CSRFSSRF、XXE漏洞原理、应用、防御
lza20001103的博客
08-25 2359
一文读懂XSS、CSRFSSRF、XXE漏洞原理、应用、防御 文章目录一文读懂XSS、CSRFSSRF、XXE漏洞原理、应用、防御一、相同点与不同点相同点不同点XXE漏洞二、防御1、XSS2、CSRF3、SSRF4、XXE三、面试题 一、相同点与不同点 相同点 XSS,CSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点 XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的
CSRFSSRF比较
RMC131的博客
04-13 1017
因其是由服务器端发起的,所以能够请求到与服务器相连但与外网隔离的**内部系统。与XSS比较,XSS攻击是跨站脚本攻击,CSRF是跨站请求伪造,也就是说CSRF攻击不是出自用户之手,是经过第三方的处理,伪装成了受信任用户的操作。XSS是让用户触发恶意代码,实际的操作还是用户本身进行的,只是用户是无意识的。要伪造用户的操作最好的方法还是使用XSS或链接引导等,让用户在无意识的情况下完成操作。地址过于信任,没有经过严格的检测,导致攻击者以此为跳板攻击其他服务器或内网。,向服务器发送请求。是服务器对用户提供的。
浅谈csrfssrf
西部壮仔的博客
02-01 877
CSRF CSRF,本名为Cross-site requestforgery,也就是跨站请求伪造。 说到CSRF,不得不提一下XSS。CSRF看起来好像和XSS跨站脚本攻击有着“不得不说的秘密”,实则却是两个不同维度的情况。从名字上来看,同为跨站攻击,XSS攻击是跨站脚本攻击,CSRF攻击是请求伪造,也就是CSRF攻击本不是出自用户之手,却经过第三方恶意攻击者的处理,伪装成了受信任用户的“亲历亲为...
CSRF,SSRF,重攻击的区别
小宇的web博客
03-07 1932
CSRF,SSRF,重攻击的区别 1.CSRF(跨站请求伪造)是服务器端没有对用户提交的数据进行随机值校验,且对http请求包内的refer字段校验不严,导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器。 SSRF(服务端请求伪造)是服务器对用户提供的可控URL过于信任,没有对攻击者提供的RUL进行地址限制和足够的检测,导致攻击者可以以此为跳板攻击内网或其他服务器。 重放攻击是将截获的数据包进行重放,达到身份认证等目的,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主
csrfssrf的区别
Gjqhs的博客
06-12 1384
进攻对象:CSRF客户端SSRF主要进攻服务器处理上:它们都利用 浏览器 发送数据包,而SSRF是在 服务器 上执行让 服务器 偷偷发送数据包目的:CSRF常用于获取用户数据,SSRF通常用于内网渗透
浅谈一下CSRF(跨站请求伪造)和SSRF(服务器端请求伪造)漏洞形成原因,二者区别,pikachu csrfssrf复现
qq_47289634的博客
07-03 638
CSRF是一种攻击技术,利用受害者在登录状态下的身份验证信息,通过伪造请求来执行未经授权的操作。攻击者诱使受害者访问恶意网站或点击恶意链接,从而触发受害者在目标网站上执行攻击者指定的操作,如修改密码、发起资金转账等SSRF是一种安全漏洞,攻击者通过在目标服务器上发起伪造的请求,使服务器发起对内部资源的请求。攻击者可以利用这个漏洞访问目标服务器内部的资源,如访问内部接口、读取文件等。SSRF通常发生在目标服务器信任用户输入,并且未对输入进行充分验证和过滤的情况下。
csrfssrf区别
08-06
回答: CSRFSSRF 是两种不同的攻击方式。 CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击是由于服务器没有对用户提交的数据进行严格的控制,导致攻击者可以利用用户的身份信息(如 cookie)伪造用户身份,向服务器发送请求。攻击者可以通过构造特定的请求,诱使用户在受信任的网站上执行恶意操作,从而实现攻击目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

廾匸0705

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值