什么是CSRF跨站请求伪造

已于 2024-07-08 22:45:30 修改
阅读量642 收藏 8
点赞数 24
文章标签: csrf 前端
于 2023-12-13 13:26:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78646673/article/details/134969440
版权

CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全攻击类型,它利用用户在已认证的Web应用程序上执行非自愿的操作。攻击者通过欺骗用户来执行未经授权的操作,这些操作可能包括更改用户密码、发送恶意请求等。

CSRF攻击通常利用了Web应用程序的信任关系,攻击者诱使已认证用户执行恶意操作,而用户无法察觉。攻击者可以通过各种方式来实施CSRF攻击,包括在受害者浏览器中植入恶意代码、诱使用户点击带有恶意请求的链接等。

CSRF攻击

攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮 件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过(cookie 里带来 sessionId 等 身份认证的信息),所以被访问的网站会认为是真正的用户操作而去运行。

比如用户登录了某银行网站(假设为 http://www.examplebank.com/,并且转账地址为 http://www.examplebank.com/withdraw?amount=1000&transferTo=PayeeName),登录后 cookie 里会包含登录用户的 sessionid,攻击者可以在另一个网站上放置如下代码

(或者直接就是跳出来一个弹框,弹框上有一张色色的图片,你只要点击了这张图片,就会触发请求。注意这里攻击者并不知道你的详细请求地址,但是它完全可以多放置一些常见银行网站的请求,互联网上那么多人万一就真的碰对了。这个就是我们常说的钓鱼网址。就像在茫茫大海上钓鱼,万一就真的碰到了呢。当然,一般来说也就是用你电脑上的算力挖点矿而已。)

<img src="http://www.examplebank.com/withdraw

?account=Aloce&amount=1000&for=badman">

那么如果正常的用户误点了上面这张图片,由于相同域名的请求会自动带上 cookie,而 cookie 里带有 正常登录用户的 sessionid,类似上面这样的转账操作在 server 就会成功,会造成极大的安全风险

CSRF 攻击的工作原理流程:

  1. 认证会话利用

    • 用户在登录了一个网站之后,网站会分配一个认证令牌(比如Cookie、session、token等)来标识用户的会话。
    • 任何拥有该会话令牌的请求都会被服务器视为来自合法用户的请求。

  2. 攻击者构造伪造请求

    • 攻击者构造一个恶意网站(例如通过电子邮件或者社交工程方式诱使用户访问)。
    • 在恶意网站中,攻击者通过HTML表单、图片请求或者JavaScript等方式,向目标网站发送一个请求。
    • 请求中包含了合法用户在目标网站的操作,比如发起转账、修改信息等。

  3. 用户执行未经意的操作

    • 如果用户已经在浏览器中保持了登录状态,并且在攻击者构造的恶意网站上执行了某些操作(如点击了一个链接或者加载了一个图片),浏览器会自动发送之前伪造的请求到目标网站。

  4. 服务器接受伪造请求

    • 目标网站接收到这个请求时,并不能区分它是由合法用户发起的还是由攻击者伪造的,因为请求中包含了合法的认证信息(比如Cookie)。

  5. 执行未经授权的操作

    • 目标网站会执行请求中指定的操作,这可能导致用户不愿意的结果,如转账、信息修改等。

CSRF 攻击的根本原因在于对于同样域名的每个请求来说,它的 cookie 都会被自动带上,这个是浏览器 的机制决定的,所以很多人据此认定 cookie 不安全。

使用 token 确实避免了CSRF 的问题,但正如上文所述,由于 token 保存在 本地浏览器的localstorage中,它会被 JS 读 取,从存储角度来看也不安全(实际上防护 CSRF 攻击的正确方式是用 CSRF token)

所以不管是 cookie 还是 token,从存储角度来看其实都不安全,都有暴露的风险,我们所说的安全更多 的是强调传输中的安全(可以在请求头中加入随机的密钥),可以用 HTTPS 协议来传输, 这样的话请求头都能被加密,也就保证了传输中 的安全。

为了防范CSRF攻击,可以采取以下一些常见的防御措施:

  1. 同源检查(Same-Site Cookies):确保Cookie仅对于与设置Cookie的网站具有相同域的请求可见。通过设置SameSite属性为Strict或Lax来限制Cookie的发送,从而减少CSRF攻击的风险。

  2. CSRF令牌(CSRF Token):在表单提交或者请求中包含一个随机生成的令牌,并在后端验证该令牌的有效性。攻击者由于无法获取到合法的CSRF令牌,因此无法成功发起CSRF攻击。

  3. 双重Cookie提交(Double Submit Cookie):在用户的Cookie和请求参数中都包含一个随机生成的令牌,服务器校验两者是否匹配来防止CSRF攻击。

  4. 自定义请求头:要求在请求中包含自定义的HTTP头部,并在后端进行验证,确保请求是来自合法的源。

  5. 验证码:对于敏感操作,可以要求用户输入验证码,以确认其操作是经过身份验证的。

以上措施并非绝对安全,但结合使用可以大大降低CSRF攻击的风险。在开发Web应用程序时,请务必考虑采取适当的安全措施来防范CSRF攻击。

张乔24
关注
  • 24
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
什么是CSRF跨站请求伪造)?
流楚丶格念的博客
02-13 2165
文章目录1. CSRF是什么?1.1 CSRF攻击细节CSRF攻击原理及过程如下:2. CSRF漏洞检测3. 防御CSRF攻击:3.1 验证 HTTP Referer 字段3.1.1 优点:3.1.2 缺点:3.2 在请求地址中添加 token 并验证3.3 在 HTTP 头中自定义属性并验证 1. CSRF是什么? CSRF(Cross-site request forgery),也被称为:one click attack/session riding,中文名称:跨站请求伪造,缩写为:CSRF/XSRF。
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
CSRF 跨站请求伪造
m0_69043895的博客
04-19 1000
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
CSRF跨站请求伪造
qq_40096118的博客
04-22 794
跨站请求伪造(Cross-Site Request Forgery,CSRF),也被称为“One-Click Attack”或“Session Riding”,是一种常见的网络安全攻击方式。它利用了网站对用户已经认证的身份的信任,通过伪造请求来执行未经授权的操作。在一个CSRF攻击中,攻击者会诱使受害者在受信任的网站上执行某些操作,例如点击链接、访问图片或点击恶意广告。而这些操作会触发已登录用户的浏览器向目标网站发送请求,从而执行攻击者所期望的操作,而受害者可能毫不知情。
CSRF跨站请求伪造攻击是什么?我们怎么防御它呢?
正在努力工作的搬砖人
04-10 1680
复习一下 cookie 和 session以及服务器是怎么用它们验证用户登录的? cookie数据存放在客户的浏览器(客户端)上,session数据放在服务器上,但是服务端的session的实现对客户端的cookie有依赖关系的,这个关系通过sessionID来维护: 假设我们的浏览器中已经保存对应某个网站的cookie了; 我们打开浏览器,在地址栏中输入该网站对应的网址,回车; 发起get请求,这个请求中包含该网站的对应的cookie;该cookie中包含验证信息,所以不用输入账号和密码便可以直接登录。
解决Csrf跨站请求伪造
qq_44090577的博客
07-11 273
解决Csrf跨站请求伪造 1.在form表单中添加一个自带的字段{{form.csrf_token}} 2. 需要csrf保护 解决: 设置app.secret_key app.secret_key = ‘rfagsrg’ 在响应的html模板的Form表单中加上: {{form.csrf_token}} 或者: {{form.hidden_tag()}} ...
【WEB漏洞原理】CSRF跨站请求伪造
过期的秋刀鱼
08-28 1155
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。
CSRF跨站请求伪造漏洞
heroking
10-22 1249
1 漏洞简介 跨站请求伪造(Cross-site request forgery,简称CSRF),攻击者利用受害者身份发起了HTTP请求,导致受害者在不知情的情况下进行了业务操作,如修改资料、提交订单、发布留言或评论等。 CSRF攻击攻击原理及过程如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并...
CSRF跨站请求伪造原理、过程、防御方案
qq_37432174的博客
11-23 2414
3.即便黑客无法篡改 Referer 值,因为 Referer 值会记录下用户的访问来源,有些用户认为这样会侵犯到他们自己的隐私权,因此用户自己可以设置浏览器使其在发送请求时不再提供Referer。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。服务器用同样的HS256算法和同样的密钥,对数据再进行一次签名,和客户端返回的Token的签名进行比较,如果验证成功,就向客户端返回请求的数据。
CSRF跨站请求伪造漏洞修复方案
weixin_42728957的博客
04-16 6848
CSRF(全称Cross-site request forgery)即跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或包含攻击代码的页面,在受害者不知情的情况下以受害者的身份(身份认证所对应的信息)向服务器发送请求,从而完成非法操作(如转账、改密等)。由于发生CSRF攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信息被迫修改,更严重者引发蠕...
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
DVWA靶场超(详细教程)--跨站攻击(XSS+CSRF)
weixin_60838266的博客
07-19 1048
webanquan”去掉了(替换为空),我们的输入从alert变成了alert()
CSRF防御及模拟CSRF攻击
qq_37550440的博客
07-19 979
防御csrf攻击方式 CSRF Token则是为了防止跨站请求伪造攻击而设计的。在CSRF攻击中,攻击者试图诱使已登录的用户在不知情的情况下执行恶意操作,例如转账或改变账户设置。CSRF Token是一种额外的安全措施,用来确认发起请求的页面是可信任的源。
Django CSRF令牌
最新发布
人生苦短,何妨一试
07-22 178
在Django中,为了防止CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击,Django提供了一个中间件,它会自动在所有的POST表单中添加一个隐藏的CSRF令牌字段。这个令牌在服务器端生成,并在用户提交表单时验证,以确保请求是来自同一个网站的合法请求
前端面试题日常练-day97 【Less】
qq_44640575的博客
07-20 394
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化页面元素的边框样式。
python爬虫基础——Webbot库介绍
qq_56262770的博客
07-22 582
Webbot是一个专为Python设计的库,用于简化网页自动化任务。它基于Selenium WebDriver,提供了一系列高级接口,使自动化任务更加直观和易于管理。Webbot库的设计理念是将复杂的网页交互抽象为简单的API调用,从而减少开发者在编写自动化脚本时的工作量。Webbot库的核心功能包括自动化表单填写、点击操作、数据抓取等,同时支持处理JavaScript渲染的页面和模拟用户行为。这些功能使得Webbot库成为自动化测试、数据收集和网页监控等领域的理想选择。
CSRF跨站请求伪造漏洞是什么
05-23
CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击是一种常见的网络安全漏洞,在网站应用中比较常见。攻击者利用用户已经登录的身份,在用户不知情的情况下,以用户的名义完成非法操作,比如发邮件、发短信、发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张乔24

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值