Web安全系列之CSRF攻击

最新推荐文章于 2024-11-08 20:13:33 发布
最新推荐文章于 2024-11-08 20:13:33 发布
阅读量884 收藏 18
点赞数 10
分类专栏: 程序员 文章标签: web安全 csrf 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84300128/article/details/138287516
版权
本文详细介绍了CSRF攻击的原理、与XSS攻击的区别,以及防范措施如验证HTTPReferer、使用验证码和CSRFToken。还探讨了利用Cookie进行安全防护的方法,包括双重Cookie和SameSite策略,并给出了学习黑客和网络安全的基础路径和进阶技能需求。
摘要由CSDN通过智能技术生成

csrf 全称跨站请求伪造(Cross-site request forgery),指的是攻击者携带网站cookie,冒充用户请求的攻击行为。

与 xss攻击 的区别

xss攻击主要指网站被攻击者利用漏洞恶意注入脚本并执行,是一种注入类攻击;csrf 描述的是攻击者携带cookie冒充用户的请求行为,它们属于两种不同维度上的分类。

可以预想的是,如果 xss攻击的执行脚本包含请求服务器的行为,其也会携带用户cookie达到冒充用户请求的行为,这时候也属于 csrf攻击,不过我们一般称这样的情况为 xsrf攻击。

经典的csrf攻击过程

  1. 用户C打开a网站,向服务器A发送请求进行登录
  2. 登陆验证通过,服务器返回cookieA
  3. cookieA被保存在浏览器中,生命周期默认为浏览器关闭
  4. 在浏览器未关闭的情况下(A域名的cookie还在),用户被攻击者诱导打开b网站
  5. 在网站b中,向服务器A发送跨域请求
  6. 在网站b的请求中浏览器为其自动携带上了服务器A的cookie
  7. 服务器A分析请求cookie得到此请求为用户C发起,正确处理网站b的请求

需要明确的是,浏览器设置和携带cookie是根据请求中服务器的域名来设置和获取的,而非请求所在网站域名。所以,用户首次在网站a请求服务器A得到的cookie对应服务器A的域名,在网站b中再次请

最低0.47元/天 解锁文章
2401_84300128
关注
专栏目录
【愚公系列】2023年05月 Web渗透测试之CSRF攻击
时光隧道
08-24 5万+
CSRF(Cross-Site Request Forgery)攻击也称为“跨站请求伪造”,是一种利用用户登录状态在用户不知情的情况下完成非法操作的攻击方式。攻击者可以通过构造一些特定的URL或者使用特定的代码,在用户进行正常操作时,将请求发送到被攻击的网站,在用户没有察觉的情况下完成攻击。GET型CSRF攻击攻击者在URL中注入参数,用户在点击链接或者图片时访问了带有恶意参数的网站,并在用户不知情的情况下完成攻击
前端安全系列-csrf攻击
Candour_0的博客
02-15 147
前端安全系列-csrf攻击
CSRF攻击原理及防御
weixin_30485799的博客
03-22 444
一、CSRF攻击原理   CSRF是什么呢?CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性。想要深入理解CSRF攻击特性我们有必要了解一下网站session的工作原理。  session我想大家都不陌生,无论你用.net或PHP开发过网站的都肯定用过session对象,然而session它是如何工作的呢?如...
Cookie 的 SameSite 属性(阮一峰的网络日志)
qq_42967540的博客
09-15 1055
Cookie 的 SameSite 属性(阮一峰的网络日志) Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Cookie:id=a3fWa; 用户后来又访问了恶意网站ma
安全开发之CSRF(跨域请求伪造)
XZ85201的博客
05-20 1347
概念:CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。
web攻击之二:CSRF跨站域请求伪造
weixin_30599769的博客
10-21 1493
CSRF是什么? (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用...
2024年最新Web安全系列CSRF攻击
2401_84239830的博客
05-01 279
CSRF攻击利用了浏览器跨域自动携带 Cookie 的特点,我们可以从不同维度防范与减少 CSRF攻击的风险。对于前端安全这块,我也是刚刚开始学习和研究,如果有错误的地方,欢迎大家指出。
Web安全系列——CSRF攻击
Windeal
11-01 172
CSRF 攻击Web应用中最常见的攻击方式之一。CSRF攻击给网站身份验证、用户账户和个人隐私带来极大威胁。了解 CSRF 攻击的流程、原理与防御措施,是构建安全可靠的Web应用程序的必要条件。CSRF,全称是Cross-Site Request Forgery,中文名为跨站请求伪造。CSRF攻击是指指恶意攻击者利用用户已经登录了另一个网站的“身份”来伪造用户的请求(例如提交一个表单)。
Web安全系列CSRF安全从入门到精通
weixin_68076304的博客
02-25 598
Cross-Site Request Forgery (CSRF) 是一种网络安全攻击攻击者通过诱骗用户点击恶意链接或访问恶意网站,伪造用户请求,实现对用户账号的非法操作。具体来说这种网络攻击可以盗取用户身份、修改用户数据、执行恶意操作等攻击,如发送恶意邮件、购买商品、提现等操作,从而造成用户的损失。尽管随着Web应用程序的安全意识和防御技术的提升,CSRF攻击的形式和手段在不断变化和演进,但是它仍然是一个常见的安全威胁。
CSRF攻击Web安全防护关键
CSRF攻击与防御是Web安全领域至关重要的防线,它涉及到一种名为跨站请求伪造(Cross-Site Request Forgery,简称CSRF或XSRF)的恶意利用手段。CSRF攻击通过欺骗用户在不知情的情况下,利用他们已经登录的网站(例如...
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1795
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
前端面试笔记10:前端安全CSRF 攻击
qq_52287721的博客
01-01 2186
前端安全 CSRF 攻击 文章目录前端安全 CSRF 攻击什么是 CSRF 攻击CSRF 攻击的类型GET 类型的 CSRF 攻击POST 类型的 CSRF 攻击防范 CSRF 攻击的方法同源检测方法使用 CSRF Token 进行验证使用双重 Cookie 验证的方法设置 cookie 属性的时候设置 Samesite 什么是 CSRF 攻击CSRF 攻击指的是跨站请求伪造攻击攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被攻击网站中保存了登录状态,那么攻击者就可
防火墙|WAF|漏洞|网络安全
qq_43777616的博客
11-06 751
防火墙|WAF|漏洞|网络安全
网络安全(黑客技术)2024年三个月自学手册
2401_85026116的博客
11-05 1110
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
2024年网络安全(黑客技术)三个月自学手册
csbDD的博客
11-06 1604
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
信息安全建设方案,网络安全等保测评方案,等保技术解决方案,等保总体实施方案(Word原件)
2301_79994950的博客
11-07 851
.1.2 安全通信网络测评 4.1.3 安全区域边界测评 4.1.4 安全计算环境测评 4.1.5 安全管理中心测评 4.1.6 安全管理制度测评 4.1.7 安全管理机构测评 4.1.8 安全管理人员测评
shodan 【2】(泷羽sec)
最新发布
m0_68984471的博客
11-08 618
shodan的使用方法
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
11-05 484
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
标题:网络安全:数字时代的守护盾
运维人生
11-08 341
网络安全是指保护网络系统中的硬件、软件及数据免受恶意攻击、破坏、泄露或非法使用的状态和能力。系统安全:确保服务器、路由器、交换机等网络基础设施的安全运行,防止被非法入侵或篡改。数据安全:保护存储在网络中的数据不被未经授权的访问、泄露、修改或删除。应用安全:确保网络应用程序(如网站、移动APP)没有安全漏洞,能够抵御恶意软件的攻击。身份与访问管理:通过认证、授权和审计机制,确保只有合法用户才能访问特定资源。网络安全意识:提高用户对网络威胁的认识,教育他们如何识别和防范钓鱼邮件、恶意链接等常见攻击手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值