WEB安全之-CSRF(跨站请求伪造)(1)

最新推荐文章于 2024-07-10 17:49:24 发布
最新推荐文章于 2024-07-10 17:49:24 发布
阅读量781 收藏 20
点赞数 29
分类专栏: 程序员 文章标签: web安全 csrf 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84150102/article/details/138881206
版权

但是这个请求是来自攻击者而不是来自我lyq,所以不能通过安全认证,因此该请求作废。这时,攻击者xxx想到了用CSRF的方式,他自己做了个黄色网站,在网站中放了如下代码:http://zhifubao.com/withdraw?account=lyq&amount=10000&for=xxx 并且通过黄色链接诱使我来访问他的网站。

当我禁不住诱惑时就会点了进去,上述请求就会从我自己的浏览器发送到支付宝,而且这个请求会附带我的浏览器中的cookie。大多数情况下,该请求会失败,因为支付宝要求我的认证信息,但是我如果刚访问支付宝不久,还没有关闭支付宝页面,我的浏览器中的cookie存有我的认证信息,这个请求就会得到响应

,从我的账户中转10000元到xxx账户里,而我丝毫不知情,攻击者拿到钱后逍遥法外。所以以后一定要克制住自己,不要随便打开别人的链接。

CSRF原理

下面一张图简单阐述了CSRF的原理

从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成以下两个步骤:

  1. 登录受信任网站A,并在本地生成Cookie。

  2. 在不登出A的情况下,访问危险网站B。

看到这里,你也许会问:“如果我不满足以上两个条件中的一个,我就不会受到CSRF攻击”。是滴,确实如此,但是你不能保证以下情况不会发生:

  • 你不能保证你登录了一个网站之后,不再打开一个tab页面并访问其它的网站(黄网)。

  • 你不能保证你关闭浏览器之后,你本地的Cookie立刻过期,你上次的会话已经结束。

上述中所谓的攻击网站,可能就是一个钓鱼网站或者黄色网站。

几种常见的攻击类型

GET类型的CSRF

这种类型的CSRF一般是由于程序员安全意识不强造成的。GET类型的CSRF利用非常简单,只需要一个HTTP请求,所以,一般会这样利用:

<img src=http://wooyun.org/csrf?xx=11 />

在访问含有这个img的页面后,成功向http://wooyun.org/csrf?xx=11 发出了一次HTTP请求。

所以,如果将该网址替换为存在GET型CSRF的地址,就能完成攻击了。

POST类型的CSRF

这种类型的CSRF危害没有GET型的大,利用起来通常使用的是一个自动提交的表单,如:

访问该页面后,表单会自动提交,相当于模拟用户完成了一次POST操作。

CSRF如何防御

验证HTTP Referer字段

根据HTTP协议,在HTTP头部中有一个Referer字段,它记录了该HTTP请求所在的地址,表示HTTP请求从那个页面发出的。比如当你访问 http://zhifubao.com/withdraw?account=lyq&amount=10000&for=xxx ,用户必须先登录支付宝网站,然后通过点击页面的的按钮来触发转账事件。此时,转账请求的Referer值就是转账页面所在的URL,通常是以zhifubao.com域名开头的地址。如果攻击者要实行CSRF攻击,那么他只能在自己的站点构造请求,此时Referer的值就指向黑客自己的网站。因此要防御CSRF攻击,支付宝只需要对每一个转账请求验证其Referer值,如果是以zhifubao.com开头的域名,则是合法请求,相反,则是非法请求并拒绝。

这种方法的好处就是简单易行,只需要在后台添加一个拦截器来检查Referer即可。然而这种办法并不是万无一失,Referer的值是由浏览器提供的,一些低级的浏览器可以通过某种方式篡改Referer的值,这就给了攻击者可乘之机;而一些高级浏览器处于安全考虑,可以让用户设置发送HTTP请求时不再提供Referer值,这样当他们正常访问支付宝网站时,因为没有提供Referer值而被误认为CERF攻击,拒绝访问。

充分利用好cookie的SameSite属性

SameSite选项通常由Strict、Lax和None三个值

  • Strict最为严格,如果cookie设置了Strict,那么浏览器会完全禁止第三方Cookie。

  • Lax相对宽松一点,在跨站点的情况下,从第三方站点的链接打开和从第三方站点提交Get的表单都会携带cookie.但是如果在第三方站点中使用Post方法或者通过img、iframe等标签加载的URL,都不会携带Cookie。

  • None, 任何情况下都会发送Cookie。

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。

因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84150102
关注
  • 29
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB安全之-CSRF跨站请求伪造
weixin_43964148的博客
06-21 551
WEB安全之-CSRF跨站请求伪造WEB安全中经常谈到的两个东西:XSS和CSRF。 这两个概念在前端面试中也经常被问到,只要涉及到WEB安全的东西就必须提到他们哥俩,从我以往的面试经历中我多次死在这两个东西上,知道这两个东西但让我仔细描述下就瞎几把乱扯,结果可想而知。 这几天也查阅了相关书籍,终于把这两个东西搞明白了,为此决定写篇文章来记录他们俩以备今后复习,这篇先介绍CSRFCSRF是什么鬼 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Cl.
安全架构-CSRF跨站请求伪造攻击与防御
ctotalk
12-18 8088
安全架构-CSRF 文章目录安全架构-CSRF前言一、CSRF是什么?二、攻击原理及过程1.主要步骤2.攻击实例3.CSRF漏洞检测三、防御(1)验证 HTTP Referer 字段(2)在请求地址中添加 token 并验证(3)在 HTTP 头中自定义属性并验证(4)在 关键操作步骤中使用验证码总结 前言 安全架构系列知识会不断更新扩展。安全意识和安全技术手段,是开发人员和架构师必不可少的,在实际工作中要时刻注意功能安全,设计安全,有完整的安全架构知识。 一、CSRF是什么? CSRF跨站请求
Web渗透-CSRF跨站请求伪造
WolvenSec的博客
06-22 1293
跨站请求伪造(Cross-Site Request Forgery,CSRF)是一种网络攻击,通过利用受害者的身份认证状态在不知情的情况下执行恶意操作。通常,这种攻击会诱使用户点击恶意链接或访问一个特制的网站,从而触发不被用户所知的请求,导致用户意图之外的行为,如更改用户设置、转账等。
Web安全——CSRF跨站请求伪造漏洞
2402_83242246的博客
04-29 744
CSRF,全称Cross-site request forgery,即跨站请求伪造,也被称为one-click attack或者XSRF,是一种攻击者利用受害者尚未失效的身份认证信息(如cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密等)的攻击方法。
WEB漏洞原理】CSRF跨站请求伪造
过期的秋刀鱼
08-28 1147
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。
java 跨站请求伪造_Web安全之防范CSRF跨站请求伪造
weixin_35112750的博客
02-19 418
跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。与XSS攻击相比,CSRF...
web安全CSRF跨站请求伪造---node.js(九)
henu_GM的博客
09-08 851
CSRF跨站请求伪造 CSRF意为跨站请求伪造。 指攻击者盗用了你的身份,以你的名义发送恶意请求。 比如:盗用你的身份购买商品,虚拟货币转账。 那么怎么解决这种漏洞呢? CSRF防护 思路: 1、在请求转账的时候,服务器响应转账页面,在cookie中设置一个csrf_token值(随机48位字符串) 2、客户端在进行post请求的时候,在请求头中带上自定义的属性'X-CSRFToken',值为cookie中的csrf_tok...
Web安全-CSRF跨站请求伪造
道阻且长,行则将至。
02-05 1221
概述 CSRF攻击场景 GET
CSRF 跨站请求伪造
m0_69043895的博客
04-19 981
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Web 应用开发中,跨站请求伪造CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行操作。为了防止这种攻击,Tomcat 提供了一个...
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
网络安全测评技术与标准
weixin_48579910的博客
07-06 1026
网络安全测评通过多种方法和工具对系统、网络和应用程序进行全面评估,以发现和修复潜在的安全漏洞,确保其符合安全标准和政策。结合渗透测试、漏洞扫描、安全审计、风险评估、合规性测试、代码审查、社会工程测试、配置评估和基准测试等多种类型的测评,组织可以全面提升其网络安全防护能力,保护其信息资产和业务连续性。网络安全测评流程包括准备阶段、信息收集阶段、漏洞扫描阶段、渗透测试阶段、安全审计阶段、风险评估阶段、报告阶段、修复和验证阶段以及持续监控和改进阶段。
网络安全----防御----防火墙安全策略组网
最新发布
NBbabay的博客
07-10 215
4,办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定Ip地址,访问DMZ区使用免认证, 游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网址地址10.0.3.10。5生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织结构,至少包含三个部门,每个部门三个用户,统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。
医疗器械网络安全 | 漏洞扫描、渗透测试没有发现问题,是否说明我的设备是安全的?
网 安 云
07-10 376
尽管漏洞扫描、模糊测试和渗透测试在评估系统安全性方面是非常重要和有效的工具,但即使这些测试没有发现任何问题,也不能完全保证您的医疗器械是绝对安全的。网安云,目针对医疗器械海外国内注册、变更推出网络安全解决方案,专业安全专家与法规研究团队对国内、美国、欧盟等国家医疗器械注册网络安全要求进行深入钻研,为客户定制化网络安全方案,帮助客户为设备注册、上市出具符合法规要求的网络安全文件。综上所述,虽然漏洞扫描、模糊测试和渗透测试是评估医疗器械安全性的重要手段,但它们并不能完全保证系统的安全。医疗器械网络安全顾问。
如何用IP地址申请SSL证书实现网络安全
2401_84891336的博客
07-10 262
申请IP地址SSL证书
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 1115
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
如何防御csrf跨站请求伪造
02-17
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web应用程序安全漏洞,攻击者利用此漏洞在未经授权的情况下对用户进行身份验证和提交表单等操作。 以下是防御CSRF攻击的一些常见措施: 1. 随机化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值