Web前端安全学习-CSRF

最新推荐文章于 2024-07-25 09:24:40 发布
最新推荐文章于 2024-07-25 09:24:40 发布
阅读量377 收藏
点赞数
文章标签: 前端 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Candour_0/article/details/129605893
版权

今天下午上了一堂前端安全的课,挺有意思,记录下来。在上课之前,我对安全的概念是:

用户输入是不可信的,所有用户的输入都必须转义之后才入库。

然后,上面这个这种方式,仅仅是防止SQL注入攻击,避免业务数据库被渗入。

在数据库有了一层安全保护之后,攻击者们的目标,从服务器转移到了用户身上。由此,出现了CSRF攻击和XSS攻击。

CSRF

CSRF (Cross-Site-Request-Forgery) 全称是跨站请求伪造。是攻击者伪造用户身份,向服务器发起请求已达到某种目的的攻击。

GET类型的CSRF

假如有一个业务系统API,其有一个点赞的api是http://domain.com/api/like?pid=111 ,如果想要刷pid为111的点赞,只需要构建一个简单的HTTP请求即可。

<img src='http://domain.com/api/like?pid=111'>

复制

因为Img标签会自动请求src的网络,估当用户浏览一个含有上述img标签的网址的时候,不经意间已经发出一个为pid=111内容进行点赞的操作。

其实这种写操作,最好改成POST的形式,起码增加了攻击者的门槛。

POST类型的CSRF

此类型的特点是,业务系统的api,对于写操作,是用POST的方式,而不是GET的方式。

和GET对比起来,攻击门槛高了一些,不能仅仅依靠img标签来构造HTTP请求,得靠表单来实现HTTP POST了。

<fo
最低0.47元/天 解锁文章
网络安全大菠萝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
渗透测试之pikachu暴力破解(token防爆破)
LKmnbZ's Blog
11-12 5416
1. token介绍 Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端前端可以在每次请求的时候带上 Token 证明自己的合法地位。如果这个 Token 在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。 Token 完全由应用管理,所以它可以避开同源策略 Token 可以避免 C...
前端安全CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 6056
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
使用Burpsuite Intruder爆破含CSRF-Token的程序(DVWA Brute Force high-level)
weixin_30795127的博客
01-06 477
DVWA 第一题,Brute Force,简单(low)和中等(medium)模式比较好破解,对登陆请求没有做严格的过滤,可以使用简单的爆破完成,可以使用的软件是hydra和burpsuite的intruder功能。但是困难(high)模式,登陆请求中加入了csrf-token验证,每请求一次登陆,该token就会变更一次,给破解带来的难度,程序员或者脚本专家可以编写脚本来实现破解,那么针对我...
暴力破解之token防爆破如何破解?
热门推荐
qq_34376868的博客
03-12 1万+
暴力破解 顾名思义是使用循环登陆尝试的方式尝试获取网站的用户和密码。 难点在于网站会通过验证码的方式阻止我们循环登陆尝试破解。 服务器验证码可以利用验证码刷新不及时的方式破解,前端代码我们可以对请求包修改删除验证码数据的方式绕过,但是token防爆破如何破解? 第一步还是抓取一个请求包 对包中变量进行分析 此处多出了一个taken变量选项 taken变量如何来的?多半和返回包有关 通过对返回...
CSRF爆破的三种姿势
include_voidmain的博客
06-21 582
CSRF爆破的三种姿势
Web安全 -- CSRF
fwk19840301的博客
02-12 3281
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF。 CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 例如(CSRF+XSS蠕虫): test.com 存在XSS漏洞! xss.test.com 和他同源! 访...
软件安全测试-Web安全测试详解-CSRF攻击
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-11 1065
CSRF(Cross-Site Request Forgery),跟XSS漏洞攻击一样,存在巨大的危害性。 你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
Python库 | asgi-csrf-0.7.1.tar.gz
03-03
Web开发中,安全问题始终是开发者关注的重点,特别是防止跨站请求伪造(Cross-Site Request Forgery,简称CSRF)攻击。Python社区为了解决这一问题提供了多种解决方案,其中之一就是`asgi-csrf`库。`asgi-csrf`是...
web安全前端编码规范1
08-04
Web安全前端编码规范详解》 在Web应用开发中,前端安全性同样至关重要。本文将详细阐述《Web安全前端编码规范》,旨在提升Web应用的安全性,预防潜在的攻击风险。 一、项目设计阶段的安全考虑 在项目初始设计...
前端性能优化与Web安全
08-26
在现代Web开发中,前端性能优化与Web安全是两个至关重要的主题。性能优化关乎用户体验,而Web安全则关乎用户的数据安全。以下将详细介绍这两个领域的关键知识点。 **性能优化** 1. **UI篇**: - 图像处理:根据...
spring-security-jwt-csrf:使用Spring Security,Spring Boot和Vue js进行无状态JWT身份验证的演示
01-31
ЭтодемонстрацияаутентификациинаосноветокенасиспользованиемJSON网络令牌иCSRF,Spring安全,Spring启动иVue的JS。 СтекТехнологий...
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
总的来说,CSRF攻击是一种严重的网络安全威胁,需要开发者在设计Web应用时考虑其防范措施。通过理解CSRF的原理和实施防御策略,可以有效地保护用户数据和网站的安全。在开发过程中,结合服务器端和客户端的防护手段...
前端与HTML
m0_65544927的博客
07-21 502
HTML 不是一种编程语言,而是一种标记语言HyperTextMarkupLanguage。
在Vue程序中,如何检测用户的登录状态并跳转到对应页面
最新发布
exlink2012的专栏
07-25 254
通过以上步骤,你可以在Vue应用程序中检测用户的登录状态,并在用户尝试访问受保护页面时跳转到登录页面。同时,在用户登录和登出后,你可以根据需要跳转到相应的页面。
TS如何处理js模块的类型
闻人放歌的三寸青草园圃
07-24 220
【代码】TS如何处理js模块的类型
Vue使用FullCalendar实现日历/周历/月历
_小郑有点困了的博客
07-23 222
需求背景:项目上遇到新需求,要求实现工单以日/周/月历形式展示。而且要求不同工单根据状态显示不同颜色,一个工单内部,需要以不同颜色显示三个阶段。
VUE 子组件可以直接改变父组件的数据吗
Cshaosun的博客
07-23 237
如果子组件需要修改父组件的数据,‌应该通过触发一个自定义事件来通知父组件进行数据的变更。‌父组件在接收到子组件触发的事件后,‌可以修改数据,‌从而间接地改变父组件的数据。‌这种方式通过明确的事件通信机制,‌保证了数据流的单向性和组件之间的解耦。需要注意的是,‌虽然Vue提供了一些特殊的方法来实现子组件修改父组件数据,‌但这种方式打破了数据流的单向性,‌增加了组件之间的耦合性,‌因此应谨慎使用。在Vue中,‌如果确实需要在子组件中修改父组件的数据,‌可以通过以下步骤实现:‌。
Odoo Registry 源码解读:前端世界的魔法师
清水欧度 Odoo ERP
07-23 969
它是连接不同模块的桥梁,是实现灵活扩展的关键,是每个Odoo开发魔法师最强大的盟友。下次当你在编写Odoo模块时,请记住,你手中握着的不仅仅是键盘,而是Registry赋予你的魔法杖。想象一下,它就是Odoo世界里的预言球,所有的秘密都逃不过它的法眼。Registry会用它的魔法排序棒,确保每个生物都按照正确的顺序出场,场面蔚为壮观。Registry会把常用的魔法结果记在它的魔法笔记本里,下次再用时就不用重新计算了,节省了大量的魔法能量。Registry设置了强大的防御魔法,确保没有人能破坏它的魔法秩序。
Web前端安全:XSS与CSRF深度剖析
"Web前端安全" Web前端安全是一个重要的领域,主要关注的是在Web应用程序中防止恶意攻击和数据泄露。此话题涵盖了多个子主题,包括XSS(跨站脚本)漏洞挖掘与利用、CSRF(跨站请求伪造)、对域和同源策略的理解,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值