CSRF基本概念

最新推荐文章于 2023-02-22 21:01:00 发布
最新推荐文章于 2023-02-22 21:01:00 发布
阅读量258 收藏
点赞数
分类专栏: web 安全 文章标签: csrf 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ethan024/article/details/115026159
版权
安全 同时被 2 个专栏收录
39 篇文章 0 订阅
订阅专栏
web
37 篇文章 0 订阅
订阅专栏

CSRF基本概念

CSRF(Cross-Site Request Forgery, 跨站请求伪造)
攻击者伪造一个请求(一般是个链接),欺骗目标用户点击。用户点击这个请求,攻击完成。

CSRF攻击条件:

  1. 网站没有对个人信息修改的请求进行防CSRF处理,导致请求容易被伪造;
  2. 受害者必须登录该网站,并且点击该链接

示例:
在这里插入图片描述

  1. 正常情况下,Jack想编辑个人信息,因此修改自己的新地址:
    http://www.xxxx.com/sex=男&phonenum=123456&add=地球村56789号&email=jack@qq.com&submit=submit/
  2. 但是Tom想将地址改成他自己的,但是没有Jack的用户名密码;
  3. Tom可以自己注册一个账号,将GET修改地址的请求抓取下来,再将其改成Jack的信息(http://www.xxxx.com/sex=男&phonenum=123456&add=火星村56789号&email=jack@qq.com&submit=submit/),最后将该URL发给Jack骗其点击。

如何确认一个web系统存在CSRF漏洞:

  1. 对目标网址增删改的地方进行标记,并观察其逻辑,判断请求是否被伪造;
    (1)修改管理员账号时,是否需要验证旧密码,导致请求容易被伪造;
    (2)对敏感信息的修改有没有使用安全的token验证,导致请求容易被伪造;
  2. 确认凭证的有效期(会提高CSRF被利用的概率)
    (1)虽然退出或关闭了浏览器,但cookie仍然有效,或者session并没有及时过期,导致CSRF攻击变简单
汉堡哥哥27
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
命令执行+CSRF
06-11
以上内容涵盖了命令执行和CSRF基本概念、危害及防范策略。通过深入学习和实践,我们可以提高系统的安全性,减少被攻击的风险。提供的PPTX文件可能包含了详细的案例分析、漏洞利用步骤和防御方法,建议详细阅读以...
概念版QQ登录界面
11-20
【概念版QQ登录界面】是一种创新的设计实现,它可能包含了对腾讯QQ原生登录界面的改进和独特的用户体验设计。在编程领域,这样的概念版本通常由开发者或者设计师为了探索新的交互方式、界面风格或是技术实现而创建。...
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
CSRF:概念与原理
weixin_43726152的博客
05-16 262
重点学习如何确认有CSRF漏洞
有关CSRF的概述
Lemon_MY的博客
05-31 627
最近在学spring-security框架,其中有关CSRF的知识,之前没了解过,于是找了些文章了解一下。         CSRF是什么呢?CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性。想要深入理解CSRF的攻击特性我们有必要了解一下网站session的工作原理...
CSRF是什么?
程宇寒
08-09 895
先从一个故事说起(故事纯属虚构,恶意模仿后果自负): 小谷最近遭遇电信诈骗被骗的倾家荡产,于是他想到了报复社会。在知乎上狂点800个没有帮助1000个举报后,他决定做点正事干票捞钱的生意。 「很多视频网站都有赠送礼品的功能,假如所有人都赠送我个礼物,我再转卖掉,不就发财啦」小谷寻思着。 说干就敢,经过一番折腾测试,小谷发现视频网站赠送礼物的接口是: https://xxxx.com/gift/send?target=someone&giftId=ab231 , 原来只要用户在登录状态下请求这
CSRF简介
qq_45803593的博客
05-12 4万+
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
ASP.net基本操作
03-12
本篇主要介绍ASP.NET的基本操作,包括创建网页、页面生命周期管理、控件使用、数据绑定以及部署等核心概念。 一、创建ASP.NET网页 ASP.NET应用通常由一系列的网页组成,每个网页都有自己的HTML、服务器端代码(如C#...
CSRF_attack:此存储库的目的是了解和了解基本服务器可能面临的csrf漏洞
03-16
要理解CSRF攻击的工作原理,首先需要知道几个关键概念: 1. **CSRF Token**:这是一种防御CSRF攻击的方法,它是一个随机的、唯一的一次性令牌,被嵌入到服务器生成的表单中。当客户端提交表单时,服务器会验证这个...
信息安全技术:CSRF的类型.pptx
11-01
【描述】:“信息安全技术基础”表明这个话题是信息安全领域的基础知识,意味着我们将讨论CSRF攻击的基本概念、工作原理以及如何防范。 【标签】:“信息安全 安全技术” 提示我们关注的是保护数据安全的技术措施。...
CSRF简单介绍
Sy0ung_的博客
06-03 276
CSRF漏洞原理: CSRF攻击需满足条件: CSRF漏洞利用场景 防护方案
什么是CSRF?可能多数人都不清楚,没事,一起来了解!!!
lajos的博客
06-23 3万+
        CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。        这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户...
什么是 CSRF
布袋和尚
02-13 5595
1、CSRF是什么? CSRF(Cross-site request forgery),也被称为:one click attack / session riding,中文名称:跨站请求伪造,缩写为:CSRF/XSRF。 一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否
Web安全-检测-CSRF
AG9GgG的博客
10-14 1821
背景知识 跨站域请求伪造(CSRF,Cross Site Request Forgery)是一种网络攻击方式,它在2007年曾被列为互联网20大安全隐患之一。 网站是通过cookie来识别用户的,当用户成功进行身份验证之后,浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站就会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的url,可能就会执...
Csrf漏洞概述及其原理
gl620321的博客
05-01 7066
一.Csrf漏洞的概述 1.CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,C...
CSRF学习
最新发布
bianxia123456的博客
02-22 237
WEB安全
什么是CSRF(待完善)
Ping_Pig的博客
08-11 532
CSRF解释: Cross-site rquest forgery(跨站点请求伪造) 指利用受害者尚未失效的身份认真信息(cookie.会话等)诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害者不知情的情况下以受害者的身份证向服务器发送请求,从而完成非法请求. CSRF产生原因: web应用存在以下特性: form元素的action属性能够指定任意域名的url 保存在cookie...
CSRF基本概念特性
caoliangbo的博客
11-24 559
CSRF基本概念特性   注:非原创,最近在做项目的安全,找了些不错的资料研究,很有意思           跨站请求伪造(CSRF)的是 Web 应用程序一种常见的漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量 Web 2.0 技术的应用的背景下,CSRF 攻击完全可以在用户法毫无察觉的情况下发起攻击。国际上并未对 CSRF 攻击做出一个明确的定义,同时,攻击的发起手段方...
CSRF攻击原理&防御方法
AndreMao的博客
11-04 1122
CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 例如:Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF攻击攻击原理及过程如下:
理解CSRF攻击:概念、关键点与实战解析
"该文档是关于CSRF攻击的总结,主要涵盖了CSRF基本概念、攻击原理、关键点、目标以及实战中的场景复现,适用于学习和理解网络安全中的CSRF问题。" **一、CSRF攻击简介** 跨站请求伪造(CSRF)是一种网络攻击方式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汉堡哥哥27

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值