2-SpringSecurity:CSRF攻击,华为od技术面试手撕代码

最新推荐文章于 2024-08-31 15:12:04 发布
最新推荐文章于 2024-08-31 15:12:04 发布
阅读量929 收藏 5
点赞数 18
分类专栏: 程序员 文章标签: csrf 华为od 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_79055785/article/details/137613553
版权

@RestController

public class HelloController {

@GetMapping(“/hello”)

public String hello(){

return “hello springsecurity”;

}

@PostMapping(“/ok”)

public String ok(){

return “ok”;

}

}

当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。把浏览器中的Cookie复制到PostMan中。

  • 先发GET /hello,正常

2020-12-08-SpringSecurityGET.png

  • 再发POST /ok,403了。。

2020-12-08-SpringSecurityPOST.png

那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?

其实SpringSecurity默认就开启了CSRF防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。并且SpringSecurity默认忽略"GET", “HEAD”, “TRACE”, "OPTIONS"等请求,源码如下:

/**

  • Specify the {@link RequestMatcher} to use for determining when CSRF should be

  • applied. The default is to ignore GET, HEAD, TRACE, OPTIONS and process all other

  • requests.

  • @param requireCsrfProtectionMatcher the {@link RequestMatcher} to use

  • @return the {@link CsrfConfigurer} for further customizations

*/

public CsrfConfigurer requireCsrfProtectionMatcher(

RequestMatcher requireCsrfProtectionMatcher) {

Assert.notNull(requireCsrfProtectionMatcher,

“requireCsrfProtectionMatcher cannot be null”);

this.requireCsrfProtectionMatcher = requireCsrfProtectionMatcher;

return this;

}

private static final class DefaultRequiresCsrfMatcher implements RequestMatcher {

private final HashSet allowedMethods = new HashSet<>(

Arrays.asList(“GET”, “HEAD”, “TRACE”, “OPTIONS”));

/*

  • (non-Javadoc)

  • @see

  • org.springframework.security.web.util.matcher.RequestMatcher#matches(javax.

  • servlet.http.HttpServletRequest)

*/

@Override

public boolean matches(HttpServletRequest request) {

return !this.allowedMethods.contains(request.getMethod());

}

}

实验1:CSRF GET攻击

CSRF: Cross-Site Request Forgery 跨站请求伪造。一些网站比如知乎、简书中的外部链接,点击之后会有提示(免责声明),此操作有风险是否继续,这便与CSRF密切相关。

2020-12-08-SpringSecurityJump.png

结合上篇文章,新建一个SpringBoot项目,起名spring-security-csrf,核心依赖为WebThymeleaf,模拟一个钓鱼网站。

org.springframework.boot

spring-boot-starter-web

org.springframework.boot

spring-boot-starter-thymeleaf

org.springframework.boot

spring-boot-devtools

runtime

true

org.projectlombok

lombok

true

org.springframework.boot

spring-boot-starter-test

test

建好项目后,创建一个简单的HelloController.java,包含一个/GET请求,返回一个页面index.html:

  • 后端接口

@Controller

public class HelloController {

@RequestMapping(“/”)

public String hello(){

return “index”;

}

}

  • 前端模板
Title

Fishing:

Note:

  • 以下步骤在Firefox浏览器完成;

  • 修改springboot-security的后端接口,增加输出打印,方便后续确定请求是否进入后端;

@RestController

@Slf4j

public class HelloController {

@GetMapping(“/hello”)

public String hello(){

log.info("Hello ");

return “hello”;

}

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Java)
img

最后

image.png

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

、源码讲义、实战项目、讲解视频,并且后续会持续更新**

如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Java)
[外链图片转存中…(img-Z9QL7mSX-1712758741818)]

最后

[外链图片转存中…(img-xH7ltowY-1712758741819)]

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-3Veas9gm-1712758741819)]

小猪佩琪962
关注
  • 18
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为OD技术面试真题精选 - 技术面】- Java八股文全题库(13)
算法大师!
04-24 627
华为OD面试技术面准备指南 华为OD面试技术面常见问题解答 华为OD面试技术面经验分享 华为OD面试技术面注意事项 华为OD面试技术面攻略 华为OD面试技术面模拟题目与解析 华为OD面试技术面知识点梳理 华为OD面试技术面常考
华为OD技术面试真题 - 技术面】-测试八股文真题题库(3)
算法大师!
06-07 482
性能测试是指通过模拟负载和压力,评估软件系统在特定条件下的性能表现,包括响应时间、吞吐量、资源利用率等关键指标。
SpringSecurity原理解析以及CSRF跨站请求伪造攻击
HongYu012的博客
03-08 504
SpringSecurity SpringSecurity是一个基于Spring开发的非常强大的权限验证框架,其核心功能包括: 认证 (用户登录) 授权 (此用户能够做哪些事情) 攻击防护 (防止伪造身份攻击) 我们为什么需要使用更加专业的全新验证框架,还要从CSRF说起。 CSRF跨站请求伪造攻击 我们时常会在QQ上收到别人发送的钓鱼网站链接,只要你在上面登陆了你的QQ账号,那么不出意外,你的号已经在别人中了。 实际上这一类网站都属于恶意网站,专门用于盗取他人信息,执行非法操作,甚至获..
Spring Boot中的CSRF攻击及预防
Java徐师兄的博客
07-06 1831
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序中,我们可以采取多种措施来预防CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,防止攻击者利用CSRF漏洞进行攻击。在实际开发中,我们可以根据实际需求选择适当的预防措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
Spring MVC中的CSRF攻击防御
Sunny的专栏
08-05 3895
原文地址:http://moon-walker.iteye.com/blog/2397907,https://www.oschina.net/code/snippet_1029551_27153#45401 此文仅作为当时解决此问题记录 CSRF攻击 CSRF攻击全称为:Cross-site request forgery,直接翻译为:跨站请求伪造。直接看名称还是有点难以理解,容易跟XSS攻...
java代码审计书(二)
一个码农的笔记
11-21 5131
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 xml解析导致xxe漏洞 漏洞特征:XXE_XMLSTREAMREADER 当xml解析程序收到不信任的输入且如果xml解析程序支持外部实体解析的时候,那么造成xml实体解析攻击(xxe) 危害1:探测本地文件内容(xxe:xml 外部实体) &lt;?xml version="1.0" enco...
2-SpringSecurityCSRF攻击
afsdfrsg的博客
04-22 276
当然这个POST接口无法直接在浏览器中发起请求,我们需要借助PostMan来实现POST请求的发送。把浏览器中的Cookie复制到PostMan中。那么,问题来了,两个请求都是在登录状态下进行的,为什么GET成功,POST返回403了?其实默认就开启了CSRF防护,这在上一篇及官网中关于SpringBoot自动配置项那里可以看到。并且默认忽略"GET", “HEAD”, “TRACE”, "OPTIONS"等请求,源码如下:/**requests.*//*@see*/
6-SpringSecurity:数据库存储用户信息
2401_84046912的博客
04-23 837
首先看下表结构,是实际应用中相对比较通用的,共5张表,遵循了RBAC的模式:三个抽象实体(用户、角色、权限)表,两张关系表(用户-角色,角色-权限),即:;USE;t_useridbigint(20) NOT NULL COMMENT ‘用户id’,usernamepasswordrealnamevarchar(255) NOT NULL COMMENT ‘真实姓名’,mobilevarchar(11) DEFAULT NULL COMMENT ‘机号’,enabled。
华为OD技术面试真题精选 - 技术面】- 前端八股文题库(1)
算法大师!
10-29 1427
大家好!今天我给大家推荐一份备受赞誉的华为OD技术面试精选题目。 所有题目均为华为od实际面试过程中出现的问题。这些面试题主要涉及到编程八股文、职业态度以及独特的个性特点。让我们一起深入了解这个精心整理的面试题集吧!😊 希望这些问题能够帮助你在面试中脱颖而出,展现出你的技术实力和独特魅力。加油!💪💼
华为OD技术面试真题 - 技术面】- 前端八股文真题题库(3)
算法大师!
04-26 209
专栏:华为OD面试真题精选 目录: 2024华为OD面试代码真题目录以及八股文真题目录
Spring Security:用户和Spring应用之间的安全屏障
pythonxxoo的博客
06-20 276
本文分享自华为云社区《【云驻共创】深入浅出Spring Security》,作者:香菜聊游戏。Spring Security最早叫Acegi Security,这个名称并不是说它和Spring就没有关系,它依然是为Spring框架提供安全支持的。Acegi Security基于Spring,可以帮助我们为项目建立丰富的角色与权限管理系统。Acegi Security虽然好用,但是最为人诟病的则是它臃肿繁琐的配置,这一问题最终也遗传给了Spring Security。Acegi Security最终被并入Sp
什么是CSRF跨站请求伪造
weixin_47503016的博客
08-28 375
什么是CSRF跨站请求伪造
ssrf做题随记--任务计划的写入、csrf简单知识
banliyaoguai的博客
08-28 435
如何防御:在from表单下添加一个字段:token值,这个东西攻击者是伪造不了的,服务器在你第一次登陆的时候,会生成一个token,然后将这个token返回给你,然后下次你再登陆的时候携带这个token值去登陆,然后服务器会检测token的合法性。linux里面的cron中command执行的shell环境是/bin/sh,ubuntu下的/bin/sh文件是一个软连接文件,然后再ubuntu中这个软连接文件指向了dash,而我们的反弹计划反弹的是bash。centos写入任务计划是很正常的,该咋写咋写。
游玩费用计算(华为od机考题)
qq_57223586的博客
08-28 6376
Wonderland是小王居住地一家很受欢迎的游乐园。Wonderland目前有4种售票方式,分别为一日票(1天)、三日票(3天)、周票(7天)和月票(30天)。每种售票方式的价格将由一个数组给出,每种票据在票面时限内可以无限制的进行游玩。例如,小王在第10日买了一张三日票,小王可以在第10日、第11日和第12日进行无限制的游玩。小王计划在接下来一年内多次游玩该游乐园。小王计划的游玩日期将由一个数组给出。现在,请您根据给出的售票价格数组和小王计划游玩日期数组,
华为OD】2024D卷——停车场车辆统计
最新发布
weixin_45653183的博客
08-31 284
使用贪心策略:遇到车位 = 1时,尝试停放卡车;车辆大小不一,小车占一个车位(长度1),货车占两个车位(长度2),卡车占三个车位(长度3),整型字符串Q数组cars[],其中1表示有车,0表示没车,数组长度小于1000。结语:越简单的题目解法应该越多,请路过大神留下新的思路供本小白学习一下,打开思路。特定大小的停车场,数组cars[]表示,其中1表示有车,0表示没车。1个货车占第1、2个车位第3、4个车位空。1个卡车占第5、6、7个车位第8个车位空。1个小车占第1个车位第二个车位空。换一种更容易懂的写法。
华为od(D卷)路口最短时间问题
Json_Steve的博客
08-27 5963
例如: 到达(1,2)的距离(0,0) -> (0,1) -> (0,2) ->(1,2) : 60*3+2+0 = 182;比(0,0) -> (0,1) -> (1,1) -> (1,2) 60*3+5+0 = 185;行走路线为 (0,0) -> (0,1) -> (1,1) -> (1,2) -> (2,2) 走了4格路,2个右转,1个左转,共耗时 60+0+60+5+60+0+60=245。现给出 n * m 个街口的交通灯周期,以及起止街口的坐标,计算车辆经过两个街口的最短时间。
华为OD 山峰个数 C语言实现
weixin_39257775的博客
08-27 5908
不知道是不是我理解错了,这个题目200分?
华为OD 可以处理的最大任务 C语言实现
weixin_39257775的博客
08-27 6157
5 6----------------------------------第6天做。2 6----------------------------------第5天做。2 6----------------------------------第2天做。5 5----------------------------------第5天做。5 6----------------------------------第6天做。5 8----------------------------------第7天做。
Java面试大全:华为与IBM等公司核心技术考察
"这份文档包含了华为与IBM等公司在JAVA面试中常见的问题,涵盖了从基础到高级的多个知识点,包括Java语言特性、JSP与Servlet技术、J2EE相关知识以及Web安全性等方面。" 1. Java基础知识 - Java拥有八种基本数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值