有关“Token防范CRSF攻击”的理解(1),网络安全程序员如何有效提升学习效率

最新推荐文章于 2024-06-24 15:45:23 发布
最新推荐文章于 2024-06-24 15:45:23 发布
阅读量297 收藏 7
点赞数 4
分类专栏: 2024年程序员学习 文章标签: web安全 学习 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84138890/article/details/137544871
版权

简单来说就是你访问了一个奇怪的坏网站,被坏网站诱导向另一个网站攻击

当你登录一个网站A后,在没有登出的情况下,你又跑到一个其他的论坛上闲逛,然后你看到一个美女的图片,你出于好奇心,点击了美女图片,这个时候,可能就被攻击了;原因是美女图片的的超链接(link)可能是不法分子弄的,指向的可能是A网站,由于你在A网站还是登陆态,那么你点击的这个link就是以你登录态的进行的,比如可以用你的登录态发布评论;严重的可能进行转账。而你却浑然不知

上面例子中图片的HTML代码可以是

2. 为什么Token可以防止CSRF而Cookie不行

2.1 Cookie为什么会造成CSRF

首先说下Cookie为什么可以被坏人拿来进行CSRF

我们都知道,浏览器发送请求时会带上Cookie来向服务端Session发送一些用户偏好等信息,来解决HTTP无状态的缺陷。

有一些请求是form 发起的不受到浏览器同源策略的限制都,比如 POST ,因此可以任意地使用其他域的 Cookie 向其他域发送请求,形成 CSRF 攻击。

2.2 为什么Token不会呢?

这涉及到Token与Cookie的一个区别:

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
[外链图片转存中…(img-YYGfMZiw-1712633545782)]

2401_84138890
关注
专栏目录
93道网络安全面试题PDF资料
10-14
网络安全面试题涵盖了多个关键领域的知识,包括SQL注入攻击、XSS攻击、CSRF攻击、文件上传漏洞和DDoS攻击,以及ARP协议的工作原理。下面将详细解释这些知识点: 1. **SQL注入攻击**:这是一种利用用户输入数据构造...
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击
jinyangjie的博客
02-14 7073
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
通信安全//为什么 token可以防止 csrf?
weixin_37877794的博客
07-27 2366
参考 Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 所以CSRF本质原因是“重要操作的所有参数都是可以被攻击者猜测到的”,Token加密后通过Cookie储存,只有同源页面可以读取,把Token作为重要操作的参数,CSRF无法获取Token放在参数中,也无法仿造出正确的Token,就被防止掉了。
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 1万+
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
为什么Cookie无法防止CSRF攻击,而Token可以?
最新发布
m0_58989398的博客
06-24 370
上边提到,进行Session认证的时候,一般是使用Cookie来存储Session,当我们登录后,后端生成一个SessionId放在Cookie中返回给客户端,服务端通过Redis或者其他存储工具记录保存这个SessionId,客户端登录以后每次请求都会带上这个SessionId,服务端通过这个SessionId来标识登录用户这个人,如果别人通过Cookie拿到了SessionId后就可以代替你的身份访问系统了。,那跨站请求伪造是什么意思呢?下一章我们说说如何防止CSRF攻击?,跨站脚本攻击缩写为。
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
攻击对应的防范技术1
08-08
本文主要讨论了网络环境中常见的攻击类型及其相应的防范技术,包括DoS攻击、DDoS攻击、CSRF攻击和XSS攻击,并提供了详细的防御策略。 对于DoS攻击,其基本原理是通过大量无效请求消耗系统资源,导致服务中断。防范...
93道网络安全面试题目
07-20
“93道网络安全面试题目” 从给定的文件信息中,我们可以总结出以下知识点: 1. SQL 注入攻击 * 定义:攻击者在 HTTP 请求中注入恶意的 SQL 代码,使服务器使用参数构建数据库 SQL 命令时,恶意 SQL 被一起构造,...
网络安全面试题目共93道
04-11
SQL注入是一种常见的网络安全攻击方式,攻击者通过在Web应用程序的输入字段中插入恶意SQL语句,利用应用程序设计缺陷来操控数据库,从而获取敏感信息或破坏数据。 **示例:** 假设用户登录时输入用户名 `lianggzone...
360 几率大的网络安全面试题(含答案)
10-14
360 几率大的网络安全面试题(含答案) 本文旨在总结常见的网络安全面试题,并提供答案。这些问题涵盖了网络安全的多个方面,包括协议、攻击防范网络安全...只有通过不断学习和实践,才能更好地防范网络安全攻击
如何确保您的Token安全防范常见威胁与最佳实践
fudaihb的博客
05-14 3175
Token安全网络安全领域的一个重要方面,尤其是在现代应用程序中,token常常用于身份验证和会话管理。本文将探讨如何保护token不受常见威胁的侵害,并提供一些最佳实践来增强token安全性。
token为什么能防止csrf_「Burpsuite练兵场」CSRF(二)
weixin_39770821的博客
12-10 716
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于CSRF的内容介绍,感兴趣的小伙伴千万别错过了呦!上期回顾「Burpsuite练兵场」CSRF(一)实验一:Token关联到非会话cookie实验提示:应用程序 email change模块存在CSRF漏洞,启用了token防护,但是并未将csrf令牌防护整合到会话管理中。实验要求:构造CSRF利用代码并上传到exploit serv...
token为什么能防止csrf_CSRF漏洞探讨
weixin_39753211的博客
11-29 1869
今天和大家聊聊CSRF(Cross—Site Request Forgery)跨站点请求伪造背景:节后上班的第一天,无心工作,还被告知今天的文章还没有发,心塞。又被告知负责的某个产品下某个页面存在一个跨站请求伪造漏洞,该漏洞会导致攻击者可以恶意通过浏览器盗用用户身份信息发送一些恶意请求,可能会存在盗号风险,心更塞。惨痛的教训总结最深刻的经验,这波经验无私奉献给你们。一、CSRF原理什么是...
Token验证对CSRF的意义
JBlock的博客
10-28 3978
在前面我已经就DVWA作为实验环境对csrf攻击进行了测试,并且利用漏洞成功修改了密码。实现了了跨站请求伪造攻击。而攻击成功的原因就是因为验证机制不够严谨。今天我就当前最流行的也是最安全的验证机制做一下讨论。Csrf攻击的本质就是重要操作的所以参数都可以被攻击者猜测了解到。攻击者知道所以参数的意义就可以构造出合适的链接发起攻击。所以,有一种解决方案就是对参数进行加密,但这样对数据分析工作和数据收藏就
token及用token防csrf
weixin_44720762的博客
06-01 8042
为什么会出现csrf:一方面,用户安全意识不足,访问不知名的url。另一方面,web没有做到准确的合法用户验证。 由此产生了token,也就是令牌。以修改个人信息页面为例。每当用户访问此页面。html脚本会生成一个随机token,相当于给用户发了一个令牌。通过url中的header一并发到后端。当是这和单一的id其实并没有多大的不同,任何人都可以通过抓包伪造。所以就需要签名。通过算法,将用户id ...
token为什么能防止csrf_注意!!CSRF和XSS攻防知识点来了
weixin_39740737的博客
11-29 4736
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
关于token防止CSRF的一点想法
clover_rui的专栏
03-14 1202
一、生成策略 1、服务器端根据一定算法,生成token; 2、保存到session中; 3、前台form表单中取到session放到隐藏标签内; 4、提交表单后和session中token比较,然后失效掉原先的session; [color=red][b]示例代码:[/b][/color] [code="java"] class Token...
网络安全面试常见问题总结:SQL注入、XSS攻击、CSRF攻击防范
网络安全面试题目 以下是根据给定文件信息所生成的知识点: **SQL注入攻击** SQL注入攻击是一种常见的网络攻击方式,...网络安全和信息安全是保护计算机系统、网络和数据的安全措施,防范各种网络攻击和数据泄露。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值