csrf攻击与防护—3用flask简单演示防范csrf攻击之token验证

最新推荐文章于 2023-03-07 15:00:00 发布
最新推荐文章于 2023-03-07 15:00:00 发布
阅读量506 收藏
点赞数
分类专栏: python3 文章标签: flask csrf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ACBC12345/article/details/121760310
版权

csrf攻击与防护—2用flask简单演示防范csrf攻击之referer

CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
token 验证
从上面的样式可以发现,攻击者伪造了转账的表单,那么网站可以在表单中加入了一个随机的token来验证.token随着其他请求数据一起被提交到服务器.服务器通过验证token的值来判断post请求是否合法.由于攻击者没有办法获取到页面信息,所以它没有办法知道token的值.那么伪造的表单中就没有该token值.服务器就可以判断出这个请求是伪造的.
以下是演示代码
bank.py

import uuid
from flask import render_template, Flask, request, jsonify, make_response

app = Flask("haha")
YOUR_BANK_ACOUNT = 1000000000
ID = str(uuid.uuid1())

CSRF_TOKEN = str(uuid.uuid1())


@app.route("/")
def root():
    # 防止csrf攻击手段2 -- token验证
    # 将token放入form表单中,随表单一起提交作为验证参数(也可放入页面任一位置),攻击者是拿不到这个参数的
    response = make_response(render_template("bank_page.html", csrftoken=CSRF_TOKEN))
    # cookie校验无法阻止csrf攻击
    response.set_cookie("id", ID)
    return response


@app.route("/quit")
def quit():
    response = make_response("退出成功!")
    response.delete_cookie("id")
    return response


@app.route("/transfer_money")
def form():
    # 简单验证cookie
    if ID != request.cookies.get("id"):
        print("cookie验证失败!可能正遭受攻击!")
        return jsonify({"status": "Fail"})

    # 防止csrf攻击手段1 -- refer验证
    # refer = request.headers.environ.get("HTTP_REFERER")
    # if refer != "http://127.0.0.1:8082/":
    #     print("refer验证失败!可能正遭受攻击!")
    #     return jsonify({"status": "Fail"})

    # 防止csrf攻击手段2 -- token验证
    csrf_token = request.values.get("csrftoken")
    if csrf_token != CSRF_TOKEN:
        print("csrf_token验证失败!可能正遭受攻击!")
        return jsonify({"status": "Fail"})

    global YOUR_BANK_ACOUNT
    cash = int(request.values.get("money"))
    YOUR_BANK_ACOUNT -= cash
    print(f"Transfer {cash} yuan, YOUR_BANK_ACOUNT left {YOUR_BANK_ACOUNT}")
    return jsonify({"status": "OK"})


if __name__ == "__main__":
    app.run(port=8082)

bank_page.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>main</title>
</head>
<body>
<h1>账户转移!</h1>
<form action="/transfer_money">
transfer_money:<br>
<input type="text" name="money" value="0">
<br>
<input type="hidden" name="csrftoken" value="{{csrftoken}}"/>
<br><br>
<input type="submit" value="Submit">
</form>

点击下面链接退出<br>
<a href="quit">quit</a>
</body>
</html>

以下是攻击网站代码
csrf_attack.py

from flask import render_template, Flask, request, jsonify

app = Flask("haha")


@app.route("/")
def root():
    return render_template("page_attack.html")


if __name__ == "__main__":
    app.run(port=8083)

page_attack.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>main</title>
</head>
<body>
<h1>抽大奖!</h1>
<form action="http://127.0.0.1:8082/transfer_money">
    <input type="hidden" name="money" value="100000">
    <input type="submit" value="点我抽大奖">
</form>

</body>
</html>

原文参考:
CSRF攻击原理及预防手段
安全篇——如何预防CSRF攻击

Dan.Qiao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
三十二、python学习之Flask框架(四)模板:jinja2模板、过滤器、模板复用(继承、宏、包含)、了解CSRF跨站请求攻击
浅弋、璃鱼的博客
10-18 603
一、jinja2模板引擎的简介: 1.模板: 1.1视图函数的两个作用: 处理业务逻辑; 返回响应内容; 1.3 什么是模板: 模板其实是一个包含响应文本的文件,不是特指的html文件,其中用占位符(变量)表示动态部分,告诉模板引擎其具体的值需要从使用的数据中获取 使用真实值替换变量,再返回最终得到的字符串,这个过程称为“渲染” Flask是使用 Jinja2 这个模板引擎来渲染模板 1....
csrf攻击防护—1用flask简单演示csrf攻击
ACBC12345的博客
12-06 295
目录结构 flask_test |__templates(它包含bank_page.html和page_attack.html) |__bank.py |__csrf_attack.py bank.py from flask import render_template, Flask, request, jsonify, make_response app = Flask("haha") YOUR_BANK_COUNT = 1000000000 TOKEN = "0ofjsfnnfgxgxgxgreitu
csrf攻击防护—2用flask简单演示防范csrf攻击之referer
ACBC12345的博客
12-06 616
接上篇 csrf攻击防护—1用flask简单演示csrf攻击 以下是根据referer字段防止csrf攻击的新代码: bank.py from flask import render_template, Flask, request, jsonify, make_response app = Flask("haha") YOUR_BANK_COUNT = 1000000000 TOKEN = "0ofjsfnnfgxgxgxgreituto" @app.route("/") def root():
flask实现token验证
Liubingzhe
01-02 3939
NOT_CHECK_URL=['/login'] @app.before_request def is_login(): if request.path not in NOT_CHECK_URL: loginkey=request.args.getlist('key') if loginkey[0]=='allow_code': pass else: return jsonify({'msg'
django 开启CSRFtoken校验,以及postman实现问题
xiameimei_win的博客
11-30 808
Django postman csrf校验
JWT 加密
T525174893的博客
04-26 529
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
详解WEB攻击CSRF攻击防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。简单地...
PHP开发中csrf攻击简单演示防范
10-19
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对...
Flask模拟实现CSRF攻击的方法
12-24
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…… 造成的...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 2万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
token及用tokencsrf
weixin_44720762的博客
06-01 8009
为什么会出现csrf:一方面,用户安全意识不足,访问不知名的url。另一方面,web没有做到准确的合法用户验证。 由此产生了token,也就是令牌。以修改个人信息页面为例。每当用户访问此页面。html脚本会生成一个随机token,相当于给用户发了一个令牌。通过url中的header一并发到后端。当是这和单一的id其实并没有多大的不同,任何人都可以通过抓包伪造。所以就需要签名。通过算法,将用户id ...
CSRF 攻击的应对之道
zhengjunweimail的专栏
09-10 1186
CSRF 背景与介绍 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5686
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
django中csrf_token原理
janthinasnail的博客
04-14 1680
为防止CSRF攻击,我们需要在html页面加入{% csrf_token %}这样的代码。 但是,当我们打开多个页面的时候,你会发现,每个页面的这个csrfmiddlewaretoken还不一样,如下代码所示: //页面1的部分代码 <input type="hidden" name="csrfmiddlewaretoken" value="aPhlhBx4ellSgZbxDiBYwLqGd8pC3Pt0bkSD7wedsiKAuDIDwIYPh1XdklDmmGcI"> //页面2的部
js拼接html表单csrf_token,如何在javascript中使用{%csrf_token%}
weixin_36033929的博客
06-19 514
在我的用户页面中,我使用ajax进行编辑.当我点击编辑时,它工作正常.但是当我提交表格时,它什么也没做.当我检查时,这是错误:CSRF验证失败.请求中止.那么,我如何在我的javascript中放置{%csrf_token%}?请指教.谢谢.edit.js:function bookmark_edit() {var item = $(this).parent();var url = item.fi...
前端安全系列-如何防止CSRF攻击
javagty6778的博客
03-07 306
Token是一个比较有效的CSRF防护方法,只要页面没有XSS漏洞泄露Token,那么接口的CSRF攻击就无法成功。但是此方法的实现比较复杂,需要给每一个页面都写入Token(前端无法使用纯静态页面),每一个Form及Ajax请求都携带这个Token,后端对每一个接口都进行校验,并保证页面Token及请求Token一致。这就使得这个防护策略不能在通用的拦截上统一拦截处理,而需要每一个页面和接口都添加对应的输出和校验。这种方法工作量巨大,且有可能遗漏。
客户端与服务器端的认证方式(cookie,token,session)
sun0322
08-13 3757
■参照 ===== https://blog.csdn.net/sxzlc/article/details/103450258 9.客户端与服务器端的认证方式 ===== 最基本的方式,使用密码直接登录,这里就不说了 方式1:cookie 第一次访问的服务Web A生成一个sessionid并且存入cookie中。 第二次访问的是服务Web A,客户端会在cookie中读取sessionid加入到请求头中。 cookie保存位置 ・win10 IE C:\Users\userNam.
token验证
m0_64990797的博客
04-21 3765
为什么使用token验证 在web领域基于token的身份验证随处可变,在大多说使用web API的互联网公司中,tokens是多用户下处理认证的最佳方式 一下几点特性会让你在程序中使用基于Token 的身份验证 无状态、可扩展 支持移动设备 跨程序调用 安全 那些使用基于Token的身份验证的大佬们 大部分你见到过的API和WEB应用都是用tokens,列如facebook, twitter, google+, github等 Token的起源 在介绍基于token的身份验证的原理与优势之前,不
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 9060
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
表单CSRF攻击验证
最新发布
08-29
这样,当用户提交表单时,后端会验证表单中的csrf_token与cookie中的csrf_token是否匹配,如果不匹配,则认为可能存在CSRF攻击,并拒绝该请求。通过这种验证方式,可以有效地防止CSRF攻击。<span class="em">1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值