网络安全之CSRF

最新推荐文章于 2024-05-21 08:50:02 发布
最新推荐文章于 2024-05-21 08:50:02 发布
阅读量353 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cloud_ink/article/details/105170329
版权
本文介绍了CSRF(跨站请求伪造)的概念,通过一个实例展示了攻击过程。黑客利用用户已登录的身份,通过伪造请求进行恶意操作,如转账。文章探讨了CSRF的原理,列举了常见攻击方式,并提出了防御策略,包括验证Referer字段和使用token验证。最后,作者分享了相关学习资源和个人联系方式。
摘要由CSDN通过智能技术生成

CSRF概述

中文:跨站请求伪造

英文全称:Cross - site request forrgery

作用:强制终端用户在当前对其进行身份验证后的WEB应用程序上执行非本意的操作

这个漏洞的使用前提:必须要有一个用户登录了这个web应用

攻击的重点:伪造更改状态类的请求,比如修改密码或者是转账什么的

攻击路径:诱骗用户进行操作,或是强制用户进行操作

CSRf具备普遍性

举个栗子(来着简书链接如下,侵必删)

场景还原

下班后,手机没电关机之前的最后一个电话是我一朋友打来借钱的。无奈我只能打开Chrome,访问了某银行网站,好在我成功登录(手机接到验证码后便关机了)。

导航到转账页面,我输入好金额和对方账号,点击提交后,浏览器发起一个请求:

GET https://bank.cn/withdraw?account=sjyuan&amount=5000&for=FriendAccount

转账成功后,我开始浏览某论坛。某帖子有一个评论附了一张照片,我好奇地点击了照片,不料中招,链接地址是:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nPPlQS1c-1585406082494)(https://bank.cn/withdraw?account=sjyuan&amount=50000&for=HackerAccoun

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web应用之网络安全ppt
06-07
网络安全】Web应用的安全防护是当今互联网环境中至关重要的议题,因为Web已经成为我们日常生活和工作中获取信息、交流互动的核心平台。Web安全技术旨在保护Web服务器、Web应用程序以及它们传输的数据免受各种非法...
基础漏洞csrf挖掘实战
10-07
跨站请求伪造(CSRF)是一种网络攻击方式,它利用了用户浏览器的已登录状态,使攻击者能够以受害者的身份执行非授权的操作。攻击者通常借助受害者在其他网站上的合法会话,通过诱导受害者点击恶意链接或者加载含有...
网络安全-CSRF
javaman_baicun 的博客
11-20 130
目录 CSRF简介 CSRF防御方式 CSRF简介 CSRF跨站点请求伪造(Cross—Site Request Forgery),也是常见的网络攻击方式之一,主要是会盗用客户浏览器cookie,伪造信息进行攻击,获取方式同XSS一样,而CSRF专门获取用户浏览器cookie,进行伪造访问。 CSRF防御方式 1、对重要的cookie 设置httpOnly,防止客户端通过document.cookie读取cookie; 2、添加校验token,后端在返回前端的时候会生有一个t...
[网络安全学习篇62]:CSRF 攻击
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
05-10 2003
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客(课程笔记)的形式去学习它,虽然写博客会让我多花几倍的时间去学习它,但是当我完成一篇博客所获得的成就感和你们对于我的认同感,让我很满足,能够鼓励我一天天的坚持下去,也希望和我一起学习本期视频的"同道"们也能给一直坚持下去。我们大家一起加油。由于作者本身也是网络信息安全小白,大部分知识点都..
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
05-21 2521
这时该转帐请求的 Referer 值就会是转账按钮所在的页面的URL,而如果黑客要对银行网站实施 CSRF攻击,他只能在他自己的网站构造请求,当用户User通过黑客的网站发送请求到WebA时,该请求的 Referer 是指向黑客自己的网站。你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。比如在PHP中,如果使用的是。
网络安全CSRF攻击
wangqianqianya的博客
03-12 320
CSRF cross site request forgery,跨站域请求伪造。 攻击形式 如陌生人给你发qq消息带有链接,点击之后即遭受攻击,你的qq会在你未知的情况下自动向他人或空间中发布小广告等其它攻击者让你发的信息。 cookie cookie是客户在访问web服务器时,服务器在客户磁盘上存放的鉴别用户的信息。 原理 当用户访问正常的网站A时,网站A会...
网络安全csrf和xss_网络安全10 — CSRF
weixin_26722031的博客
08-01 165
网络安全csrf和xssWeb Security 01 — Prepare 网络安全01-准备 Web Security 02 — Referrer Web安全02 —推荐人 Web Security 03 — X Powered By / Server 网络安全03 — X技术支持/服务器 Web Security 05 — X-Frame-Options 网络安全05 — X框架选项 Web ...
93道网络安全面试题目
07-20
“93道网络安全面试题目” 从给定的文件信息中,我们可以总结出以下知识点: 1. SQL 注入攻击 * 定义:攻击者在 HTTP 请求中注入恶意的 SQL 代码,使服务器使用参数构建数据库 SQL 命令时,恶意 SQL 被一起构造,...
安全 毕设 csrf的攻击实现
04-13
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全威胁,它利用了用户的浏览器自动发送请求的身份认证信息。在毕设项目中,理解并实现CSRF攻击可以帮助我们更好地了解其工作原理,从而设计出更...
python网络安全攻防平台项目
04-13
Django的安全特性,如CSRF(跨站请求伪造)保护和XSS(跨站脚本)防护,使其在网络安全项目中特别适用。但同样,1.9版本相对较旧,最新的Django版本会包含更多的改进和安全修复,所以推荐升级至更现代的版本。 项目...
CSRF攻击的应对之道
01-30
CSRF(Cross ...然而,该攻击方式并不为大家所熟知,很多网站都有CSRF的安全漏洞。本文首先介绍 CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如
网络安全Web攻击思维导图
04-07
XSS、CSRF和SQL注入是Web应用中最常见的三种安全威胁。了解这些攻击的工作原理以及如何防御它们对于保护Web应用的安全至关重要。通过对用户输入进行严格的验证和过滤,使用现代的安全技术如参数化查询和内容安全策略...
网络安全简答题 2.docx
11-09
网络安全是保护网络系统免受恶意攻击和破坏的关键领域,涵盖了多种技术、协议和攻击手段。以下是对题目中涉及的一些核心知识点的详细解释: 1. **SQL注入攻击**:攻击者利用应用程序对用户输入数据的不适当处理,将...
网络安全攻防大赛ctf题目
03-09
网络安全攻防大赛CTF(Capture The Flag)是一种流行的竞赛形式,旨在提升参赛者的网络安全技能,包括漏洞挖掘、密码学、取证分析、网络嗅探等多个领域。这类比赛通常分为多个环节,如逆向工程、Web安全、密码学、二...
网络安全-跨站请求伪造(CSRF)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
网络安全菜鸟学习之漏洞篇——CSRF
gqzszzy的博客
10-11 356
这篇文章我们会学习到CSRF与SSRF。首先我们先来学习一下CSRF。 什么是CSRF? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。以上是百度给出的定义,估计大家还是有一些搞
【前端安全】csrf
Daisy
04-06 347
csrf:Cross Site Request Forgy 跨站请求伪造 xss主要运行了来自其他网站的脚本 csrf是打开了第三方网站 来操作之前的网站的一个行为。比如打开了一个crsf的网站,然后向刚刚那个网站发起了请求比如一个发表评论的请求,然后就评论了。 <a href="http://localhost:80/ajax/addComment?postId=13&conten...
如何解决网络安全CSRF问题
09-01
网络安全CSRF问题是一种跨站请求伪造攻击,攻击者可以利用用户已经登录的身份来执行未经授权的操作。为了解决这个问题,可以采取以下几种方式: 1. 在请求中添加Token验证:可以在页面中生成一个随机的Token,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值