CSRF简单介绍

最新推荐文章于 2024-08-25 22:11:34 发布
最新推荐文章于 2024-08-25 22:11:34 发布
阅读量89 收藏 3
点赞数 3
分类专栏: 学习笔记 文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_82000839/article/details/141528238
版权

请添加图片描述
欢迎交流

CSRF

条件:

  1. 需要请求伪造数据包
  2. 无过滤防护,有过滤防护能绕过
  3. 受害者需要触发(诱惑)

流程图

image-20240824202217149

解决方案一:

检查Referer字段

image-20240825085034395

解决方案二:

CSRFToken

image-20240825090014004

发货100CMS示例(无过滤)

image-20240825122532247

抓包添加

image-20240825122609139

自动点击脚本要勾选上

image-20240825122708703

去掉按钮

image-20240825123148395

就会尝试去访问界面

image-20240825123627196

这里我们用虚拟机搭建web服务,copy修改文件,不让username重复

image-20240825124254756

使用虚拟机启动的demo.html网站直接添加了flowersse用户

467930)]

使用虚拟机启动的demo.html网站直接添加了flowersse用户

flowers-boy
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CSRF漏洞介绍
qq_34835587的博客
10-24 253
CSRF(Cross-site request forery,跨站请求伪造) XSS与CSRF的区别: 1、XSS利用站点内的信任用户,盗取Cookie; 2、CSRF通过伪装成受信任用户请求受信任的网站。 CSRF漏洞原理 利用目标用户的合法身份,以目标用户的名义执行某些非法操作 CSRF成功里利用的条件: 1、用户已经登陆系统 2、用户访问对应的url CSRF漏洞练习环境位BWAPP,可以自行去下载部署 CSRF种类: 1、Get型CSRF利用 2、Post型CSRF利用 CSRF预防措施: 1、js
CSRF简单介绍与解决方法
qq_41024101的博客
01-24 1478
CSRF (Cross-site request forgery) 跨站请求伪造 知识点: 目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息,同时在 cookie 中将 session id(即刚才说的键)存储到 cookie 中。 另外我们又知道浏览器中 HTTP(s) 请求是会自动帮我们把 cookie 带上传给服务端的。这样在每次请求的时候通过 cookie 获取 session...
CSRF简单介绍及利用方法
weixin_34337381的博客
03-08 1086
VIP · 2013/07/02 12:240x00 简要介绍CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式,CSRF利用方式可分为两种。0x01 GET类型的CSRF这种类型的CSRF一般是由于程序员安全意识不强造成的。GET类型的CSRF利用非常简单,只...
PHP开发中csrf攻击的简单演示和防范
01-20
网上有很多关于csrf介绍,比如一位前辈的文章CSRF的攻击方式详解,参考这篇文章简单解释下:csrf 攻击能够实现依赖于这样一个简单的事实:我们在用浏览器浏览网页时通常会打开好几个浏览器标签(或窗口),假如...
django 取消csrf限制的实例
09-17
本文将详细介绍如何在Django中取消CSRF限制,并探讨在前后端分离项目中处理CSRF Token和跨域问题的方法。 首先,要取消Django中的CSRF限制,你可以使用`django.views.decorators.csrf.csrf_exempt`装饰器。这是一个...
CSRF漏洞token防御介绍-01
09-15
CSRF 漏洞 Token 防御介绍 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的 Web 应用安全漏洞,它允许攻击者在用户不知情的情况下,伪造用户的请求,导致用户执行非预期的操作。为了防御 CSRF 漏洞...
CSRF思路分享.docx
04-14
为了让csrf漏洞触发变得简单,我们可以利用XSS漏洞来触发csrf漏洞。首先,我们需要了解发送的数据包内容,打开讲到的XSS平台,创建一个csrf的项目,然后编写我们的代码,粘到项目的代码配置中去,然后把我们的可利用...
json简单介绍
12-09
这种便捷性在AJAX(异步JavaScript和XML)技术中体现得尤为明显,JSON成为AJAX通信的标准响应格式,因为它比XML更快,解析更简单。 JSON不仅支持多种语言,如ActionScript、C#、PHP、Python等,还拥有良好的跨域...
SSRF以及CSRF
iteuko的博客
08-24 315
服务端请求伪造:由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据数据流:攻击者->服务器->目标地址有关函数。
vue ref和reactive区别
灰海
08-25 249
在第二个示例中,我们使用了reactive来创建一个名为state的响应式对象,它包含name和age两个属性。在模板中,我们通过{{ state.name }}和{{ state.age }}来显示state对象的属性值。在第一个示例中,我们使用了ref来创建一个名为count的响应式引用,它是一个简单的数字类型。在模板中,我们通过{{ count }}直接显示count的值,而不需要.value前缀,因为Vue的模板语法会自动处理ref的.value访问。
前端开发攻略---在Vue3项目中修改Element-Plus主题色
nibabaoo的博客
08-22 226
在Vue3项目中修改Element-Plus主题色
【js】各类前端输入校验方法
galaxyJING的博客
08-21 363
【代码】【js】各类前端输入校验方法。
vue中定义一个url文件,在vue文件中引入
weixin_65767506的博客
08-22 303
1.在src/utils文件夹下创建一个url.js。3.在其他vue文件中引入。2.url.js的内容为。4.在挂载时打印一下。打印出来就可以用了.
浅谈JavaScript 框架在现代 Web 开发中的作用
08-21 534
随着近年来 Web 开发的快速发展,JavaScript 框架已成为用于构建任何应用程序的强大、灵活和可扩展元素的重要实用程序。一些框架,如Angular、React、Vue.JS等,有助于以系统的方式处理固有的网站开发复杂性,以提高效率。它们提供已经为基本编程功能和常规任务编写的 JavaScript 代码,从而缩短了必要的原始编码时间。此外,它们还增加了 Web 应用程序的功能和交互性,从...
谷歌、火狐及Edge等浏览器如何使用allWebPlugin中间件响应ActiveX插件事件
最新发布
云开软件工作室
08-25 419
如何通过allWebPlugin中间件技术,在谷歌、火狐、Edge及360等浏览器中响应ActiveX控件的事件。JavaScript调用PluginHostCnt类RegisterEvent方法,注册需要响应的控件事件,如果需要响应多个事件,事件与事件之间通过分号(;)隔开;使用JavaScript编写事件响应函数,响应函数参数需要与ActiveX控件事件函数参数一致。
前端宝典十六:深入浅出8大设计模式
franktaoge的博客
08-24 861
本文主要探讨前端开发中的各种设计模式,主要分类有: - 单例模式 - 建造者模式 - 代理模式 - 装饰器模式 - 适配器模式 - 策略模式 - 观察者模式 - 发布订阅模式 通过对他们实际开发中的使用场景的解析,深入浅出的一起更全面直观的进行学习:
前端审查_Nginx
阿宝的博客
08-22 337
vueCli/vite/cra/umi等都是运行 build脚本build如何定义 打包生产环境代码配置在配置文件 vue.config.js中。
Android中webview优化策略
zys563488512的博客
08-21 310
在Android开发中,要实现WebView的秒开体验,可以通过一系列性能优化策略来显著提升WebView的加载速度和用户体验。
spring scruity 简单介绍
07-17
我想您可能想问的是Spring Security,它是一个流行的开源框架,用于在Java应用程序中提供身份验证、授权和其他安全功能。Spring Security 为用户认证和授权提供了支持,包括各种身份验证方案,如表单验证、HTTP基本验证、OAuth等。它也提供了许多防止攻击的安全特性,如CSRF防护、基于会话的防护等。Spring Security 通过使用过滤器和拦截器来保护应用程序。它是Spring框架的一部分,可以与Spring的其他组件无缝集成。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

flowers-boy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值