CSRF真实案例

已于 2024-05-30 09:59:18 修改
阅读量387 收藏 9
点赞数 9
分类专栏: csrf 文章标签: csrf 前端 网络安全 系统安全 安全
于 2024-01-26 21:24:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80361487/article/details/135875061
版权
本文揭露了京东商城的一个CSRF漏洞,恶意用户可通过在自己网站嵌入特定链接,利用用户已登录的状态,让他人在不知情的情况下关注自己。同时提及TP-Link路由器也存在类似的安全问题,可能导致DNS劫持。
摘要由CSDN通过智能技术生成

曾经有京东商城一个csrf商家可以刷关注

http://www.bdomain.com/addfriends?uid=123
假如我是一个恶意用户,我想让更多的人关注我,而我又不想通过正常的渠道去实现,因
为毕竟正常渠道比较浪费时间,于是我便开始想歪主意,碰巧, B 网站的“加关注”的实
现原理被我发现了。
首先我在我自己的网站 A 里发了篇文章, <img src= http://www.bdomain.com/addfriends?uid=456″ /> 456
假设是我)
你打开浏览器登录了 B 网站,与此同时,你也打开了我的网站 A ,这个时候,我的网站 A 就发起了上面的那个
B 服务器的请求,你已经登录了 B 网站, Cookie 已经产生了,服务器就会误认为是你主动要关注我的,于是,
便向数据库写入了一条记录,而你就在不知不觉中,默默无闻的关注我啦 ~~~

暴走漫画刷金币CSRF漏洞:

TP-Link家用路由器CSRF导致DNS劫持: 

网安+硬件
关注
专栏目录
csrf漏洞例子(html、css、JavaScript、php)
04-26
demo例子操作步骤 1、登录获取身份认证(这里用到session) 2、登录后点击跳转进入有漏洞的网站(这里模拟的是黑客发给受害者的地址) 3、点击跳转后是一个图片 注解:其中src的地址money.php是网站的转账接口 其中name是转给谁,money是转多少钱 一旦目标登录了网站访问了这个网页,就会利用session给jake转账100元 可以在目录下查看journal.txt查看转账日志//每刷新一次页面就会转一次账
TOP16之CSRF -- 小黑超细详解+案例说明<宝藏文>
G_WEB_Xie的博客
03-31 826
CSRF -- 跨站请求伪造,很好理解,就是盗用别人的身份伪造请求发送给服务器,在未授权的情况下执行权限保护之内的操作,因为请求的一切流程都是正常操作,这也是一般不会被检测到的漏洞行为。小黑子们,撸起袖子加油干!!!
CSRF跨站请求伪造攻击(附自动化工具实战某CMS)
m0_51468027的博客
02-02 2995
一、CSRF介绍   CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,也被称为 one-click attack 或者 session riding。通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像xss漏洞,但是它与xss漏洞非常不同。xss利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。与xss攻击相比,csrf攻击往往不大流行,也难以防范,所以认为比xss漏洞更具危险性 二、CSRF漏洞原理   CS
CSRF跨域攻击实例与防范
weixin_52224421的博客
01-20 575
CSRF跨域攻击实例与防范
CSRF实战案例
yuan_boss的博客
08-28 1403
CSRF中文名叫做跨站请求伪造,很容易知道这是一个跨站攻击的漏洞,也就是说我们可以让受害者在我们构造的恶意站点执行我们构造的恶意请求,从而请求到另一个网站,请求另一个网站的时候受害者会携带自己的cookie信息,进而借助受害者的cookie来执行我们的恶意请求。。在以下案例中,我会实现一个基本的CSRF攻击。我将会构造一个恶意的游戏界面,其中图片链接里面内嵌了我们的恶意请求,让受害者点击,点击之后将会携带受害者的cookie并且向正常站点发起请求,从而完成攻击。那么我们应该如何构造恶意请求呢?
根据真实故事改编.zip
03-02
这个名为“根据真实故事改编.zip”的压缩包文件很可能包含了一些与JavaScript相关的学习资料或实际案例,这可以从其标签和包含的文件名称来推断。 首先,我们来看标签“JavaScript”。JavaScript是由Brendan Eich在...
真正的B2C网站,完全可以用于商业网站
11-27
作者提供的真实项目案例对于初学者和有一定开发经验的人来说是宝贵的实践资源,可以通过研究源代码加深对上述知识点的理解,并且可以直接应用于商业环境中。这将有助于提升开发者在电子商务领域的专业技能。
安全之路:Web渗透技术及实战案例解析(第2版)
04-24
2. **漏洞分类与检测**:Web应用中的安全漏洞多种多样,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)、文件包含漏洞等。书中将详细解析这些漏洞的成因、危害及检测方法,帮助读者识别潜在的风险点。 3. **...
Web安全CSRF实例解析,字节跳动网络安全高级工程师
qq194582923的博客
04-15 867
Cookie是种在服务端的域名下的,比如客户端域名是 a.com,服务端的域名是 b.com, Cookie是种在 b.com域名下的,在 Chrome的 Application下是看到的是 a.com下面的Cookie,是没有的,之后,在a.com下发送b.com的接口请求会自动带上Cookie(因为Cookie是种在b.com下的)当用户打开该页面时,这个表单会被自动执行提交。点击诱导链接,跳转到第三方的页面,第三方页面自动发了一个扣款的请求,所以在回到正常页面的时候,刷新,发现钱变少了。
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
CSRF跨站请求伪造实例程序
11-07
一个php做的简单的银行管理系统,利用cookie值来达到跨站伪造请求的目的,最终造成银行账户余额被修改。
CSRF漏洞原理攻击与防御(非常细)
Karka_的博客
06-07 1614
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
CSRF和SSRF漏洞案例讲解
weixin_46739058的博客
04-09 3385
CSRF的概念 CSRF:跨站请求伪造(Cross-site request forgery)CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。当用户访问含有恶意代码的网页时,会向指定正常网站发送非本人意愿的数据请求包(如转账给hack,向hack发送API等)如果此时用户恰好登录了该正常网站(也就是身份验证是正常的)就会执行该恶意代码的请求,从而造成CSRF。 与在XSS章节中提到的在博客里写入获取cookie的代码,在管理员登录后台查看时就会窃取其cookie有异曲..
29.CSRF及SSRF漏洞案例讲解
mingyqf的博客
12-30 3413
CSRF&SSRF】—漏洞案例讲解—day29 一、CSRF—跨站请求伪造攻击 1、解释 CSRF漏洞解释,原理 CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 XSS 利用站点内内的信任用户,盗取cookie CS
安全】什么是CSRF攻击?如何避免?开发的时候怎么预防?
DreamSun的博客
09-14 4277
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
跨站点请求伪造 (CSRF):影响、示例和预防
mmxhappy的专栏
01-26 663
跨站点请求伪造 (CSRF/XSRF),是一个 Web 安全漏洞,可诱使 Web 浏览器执行不需要的操作。因此,攻击者滥用 Web 应用程序对受害者浏览器的信任。它允许攻击者部分绕过同源策略,该策略旨在防止不同的网站相互干扰。CSRF 令牌是由服务器端应用程序生成的唯一、不可预测的密钥值,并发送到客户端以包含在客户端发出的后续 HTTP 请求中。颁发令牌后,当客户端发出请求时,服务器会检查请求是否包含预期的令牌,如果令牌丢失或无效,则拒绝它。
CSRF原理&防御&实战
最新发布
weixin_44315471的博客
05-09 984
了解了CSRF攻击的原理和防御方法,也了解到了Spring Security框架对该攻击的处理,同时也对Http的相关内容有了一些新的认知,总结来说,虽然做的是一个小的需求,但是收获挺大的!
CSRF
qq_63527808的博客
10-26 182
利用已认证用户的身份执行未经用户授权的操作。攻击者试图欺骗用户在其不知情的情况下执行某些操作,通常是在受害者已经登录到特定网站的情况下。
WEB漏洞深度解析:CSRF与SSRF案例及防护策略
- Pikachu_CSRF案例,展示了攻击者如何利用Burp工具进行检测,并分析防御Token的有效性。 - SSSR漏洞的代码示例,展示如何结合特定漏洞利用进行测试。 - 实战案例中,提到通过图片加载和翻译转码等方式,展示SSRF的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安+硬件

生活不易,但愿极客精神与你同在

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值