CSRF跨站点请求伪造原理及防御

最新推荐文章于 2024-10-10 21:35:52 发布
最新推荐文章于 2024-10-10 21:35:52 发布
阅读量443 收藏 1
点赞数
分类专栏: 网络基础 文章标签: Web安全 CSRF攻击 CSRF防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DFF1993/article/details/80030291
版权
本文探讨了CSRF跨站点请求伪造的攻击原理,指出攻击成功的关键在于攻击者能预测URL参数。为防止CSRF攻击,提出了通过加密参数或使用随机数来增加猜测难度的防御措施。
摘要由CSDN通过智能技术生成

一、CSRF攻击原理

CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。
图1 CSRF攻击原理
1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。
  总的来说,它就是利用cookie,来盗取用户权限,从此进行操作。
  cookie有session和local两种。前者是临时的,会话关闭之后就没有了,后者是保存在本地的,当缓存过期之后才消失。

二、CSRF防御

  CSRF为什么能够攻击成功呢?其本质原因是重要操作的所有参数都是可以被攻击者猜测到的。

  攻击者只有预测出URL的所有参数与参数值,才能成功地构造一个伪造的请求,反之,攻击者将无法攻击成功。出于这个原因,可以想到一个解决方案:把参数加密,或者使用一些随机数,从而让攻击者无法猜测到参数值。

  1.验证码。由于CSRF的攻击点在于浏览器分不清是用户发送的数据还是攻击者发送的数据,所以每次提交重要信息都要求输入验证码,这样可以保证信息是安全的。
2.服务器随机生成一个token发送,这样在请求中的cookie中要是有匹配的token,就认为是安全的请求,否则就可能有安全问题。但是token要建立在没有XSS漏洞的基础上,如果有XSS漏洞,那么攻击者通过获得页面,同样可以从cookie中获得token然后进行模拟操作。

杜小白Zero
关注
专栏目录
flask中的csrf防御机制
FreeSpider
07-17 2093
csrf概念 CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
CSRF站点请求伪造
m0_66618018的博客
11-12 327
CSRF学习笔记
请求伪造攻击的基本原理与防范(转载)
diwen7957的博客
07-07 583
摘要:文章介绍了请求伪造攻击的基本情况,并以两种常见的场景作为讲解的范例,分析了该类攻击的主要原理与产生条件。针对请求伪造攻击的主要 目标和所利用的漏洞,重点介绍了5种不同的防范方法,并简单的说明5种方法各自的优劣之处。为Web应用系统的安全防范和设计提供参考。  1 请求伪造简介  请求伪造(Cross Site Request Forgery,简称CSRF),...
CSRF请求伪造原理 和 防范措施
晓康的博客
08-14 522
1.什么是CSRFCSRF:Cross-site request forgery (请求伪造) 利用网站对已认证的权限去执行未授权的命令的一种恶意攻击 攻击者会盗用你的登记信息,以你的身份模拟发送请求。比如转账汇款操作 web 身份认证机制只能识别一个请求是否来自某个用户浏览器,但是无法保证请求是用户自己或者批准发送的 图解:左边是用户,右边是需要登陆的...
CSRF(请求伪造)原理
weixin_62528361的博客
10-09 1309
CSRF攻击方式并不为大家所熟知,实际上很多网站都存在CSRF安全漏洞。早在2000年,CSRF这种攻击方式已经由国外的安全人员提出,但在国内,直到2006年才开始被关注。
站点请求伪造攻击原理防御
天外来客的博客
08-28 3824
攻击原理 站点请求伪造(Cross Site Request Forgery,简称CSRF)能够形成的根本原因是利用了浏览器cookie自动发送的特点。如果浏览器cookie中保存了用户信息,该攻击利用了cookie共享机制获取了用户信息,因此可以正常通过系统的鉴权认证,实现非法操作。 下面以网上银行转账的例子来说明该攻击的流程。 1.小明在网上银行(bank.com)转账,浏览器cookie记...
CSRF 请求伪造
bazzza的博客
12-29 409
文章目录CSRF 请求伪造一、CSRF原理二、CSRF分类Get型Post型链接类型三、CSRF危害四、防御手段五、CSRF与XSS的区别CSRF本地漏洞复现一、有token复现失败的情况二、漏洞存在-csrf成功复现 CSRF 请求伪造 一、CSRF原理 请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的
CSRF请求伪造——原理及复现
qq_41679358的博客
08-11 3305
转自行云博客https://www.xy586.top/ 原理 CSRF(Cross-site request forgery)请求伪造:通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。 与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性 你这可以这么理解CSRF攻击攻击者盗用了.
XSS站脚本攻击CSRF站点请求伪造
Rnger的博客
08-23 724
一、XSS站脚本攻击 1、简介 站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS,XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式,XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入Web里面的html代码会被执行,从而达到恶意用户的...
CSRF--站点请求伪造
weixin_44940180的博客
08-11 195
原理 攻击者盗用身份以用户名义发送恶意请求 可能用到的标签 <link href=" "> <img src=" "> <iframe src=" "> <script src=" "> csrf与xss的区别 GET 分析源码可以看出来检查了 HTTP_REFERER中是否包含SERVER_NAME 所以不能随意构造一个URL诱使管理员点击 所以,我们可以将攻击页面命名为192.168.3.3.html就可以绕过了 原本数据库中管理员的密码为
CSRF请求伪造原理
W_seventeen的博客
02-24 391
CSRF(Cross-site request forgery)请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 下图是一次...
渗透测试技术----常见web漏洞--请求伪造攻击原理防御
wwl012345的博客
08-18 1636
一、请求伪造攻击介绍 1.请求伪造攻击简介 请求伪造(Cross-site request forgery)简称为CSRF,这是一种对网站的恶意利用。CSRF实际上就是攻击者通过各种方法伪装成目标用户的身份,欺骗服务器,进行一些非法操作,但是这在服务器看来却是合法的操作。 2.CSRF与XSS的区别 尽管CSRF听起来很像XSS,但是却又与XSS有本质的区别。最本质的区别就是XS...
No.15 笔记 | CSRF 请求伪造
最新发布
l1x1n0的博客
10-10 1415
CSRF请求伪造,是一种恶意利用网站漏洞的攻击方式。攻击者伪装用户请求盗取信息。有 GET 和 POST 等类型,常见于密码修改、转账等操作处。可通过使用 POST、加验证码、检查 Referer 和使用 Token 等防御
CSRF攻击防御
qq_41030039的博客
09-29 212
**CSRF:**站点请求伪造。简单理解就是黑客利用你的身份去访问正常网站,服务器认为这个请求时合法的,然后黑客就以你的名义发送邮件或者转走你的money。这个网站就存在CSRF漏洞。 攻击原理: 用户C访问受信任网站A,输入账号密码登录网站A。 通过验证后,网站A产生cookie信息返回给浏览器,此时用户登录成功,可正常访问A。 用户在未退出A之前,在同一浏览器中,去访问了网站B。 网站B接...
CSRF请求伪造
Gjqhs的博客
03-02 743
CSRF请求伪造 原理总结 一个CSRF漏洞攻击的实现,其需要由“三个部分”来构成 1、有一个漏洞存在(无需验证、任意修改后台数据、新增请求); 2、伪装数据操作请求的恶意链接或者页面; 3、诱使用户主动访问或登录恶意链接,触发非法操作: 第一部分 漏洞的存在 关键字:请求漏洞(CSR:CrossSiteRequest) 如果需要CSRF攻击能够成功,首先就需要目标站点或系统存在一个可以进行数据修改或者新增操作,且此操作被提交后台后的过程中,其未提供任何身份识别或校验的参数。后台只要收到..
请求伪造CSRF攻击防御原理
weixin_58954236的博客
09-01 1537
请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。
深入解析请求伪造漏洞:原理剖析(1)
王新友的博客
06-18 1562
当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时,我们就说发生了请求伪造(CSRF)攻击。这些攻击被誉为基于Web的漏洞中的“沉睡的巨人”,因为互联网上的许多站点对此毫无防备,同时还因为这类攻击一直为web开发和安全社区所忽视。 一、概述 当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时,我们就说发生了请求伪造(CSRF)攻击站请
CSRF(请求伪造)
无痕的博客
01-18 8511
csrf请求伪造介绍、csrf攻击在dvwa环境中的应用
如何防御csrf请求伪造
02-17
CSRF(Cross-Site Request Forgery,请求伪造)是一种常见的Web应用程序安全漏洞,攻击者利用此漏洞在未经授权的情况下对用户进行身份验证和提交表单等操作。 以下是防御CSRF攻击的一些常见措施: 1. 随机化Token:应用程序可以在表单中嵌入一个随机的令牌(Token),这个Token的值是动态生成的,每次请求时都会不同,这样攻击者就无法通过构造一个伪造的表单来通过验证。 2. 检查Referer:在服务器端进行验证,检查HTTP请求的Referer头部信息,以确保请求是来自正确的来源。但是,这种方法也有其限制,因为一些浏览器和代理服务器不会发送Referer头部信息。 3. Cookie设置:限制cookie的访问,以确保cookie不能在不同的域名或子域名下被访问。例如,可以使用HttpOnly标志禁止JavaScript访问cookie,或使用SameSite标志限制cookie只能由同一站点请求使用。 4. 双重确认:对于关键操作(例如修改密码或删除帐户),可以要求用户在执行操作前进行额外的确认,例如输入密码或提供双重身份验证(如OTP)。 5. 输入验证:应用程序应该对输入进行验证和过滤,以防止攻击者利用恶意数据进行攻击。例如,应该限制输入长度、验证输入格式,过滤特殊字符等。 这些措施并不是绝对的,但是它们可以帮助减少CSRF攻击的风险。在开发应用程序时,还应该遵循其他安全最佳实践,如避免使用不安全的库、保持应用程序的软件和系统更新、监视应用程序日志等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值