Token如何防止CSRF漏洞

最新推荐文章于 2024-05-15 09:15:00 发布
最新推荐文章于 2024-05-15 09:15:00 发布
阅读量1.3k 收藏
点赞数
分类专栏: 安全 web 文章标签: csrf 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ethan024/article/details/115028306
版权
安全 同时被 2 个专栏收录
39 篇文章 0 订阅
订阅专栏
web
37 篇文章 0 订阅
订阅专栏

Token如何防止CSRF漏洞

CSRF的主要问题是敏感操作的链接容易被伪造,因此每次请求,都添加一个随机码(需要足够长度,足够随机,不容易被伪造),后台每次对这个随机码进行验证。

实验环境:
皮卡丘靶场—CSRF Token

实验步骤:

  1. 输入用户名和密码:lucy/123456

  2. 修改信息,将ShangHai修改为ShangHai xxx,并且用burpsuite抓包,可看见响应头设置的Token值。
    在这里插入图片描述

  3. 查看后端源代码,发现input标签里面有个token:
    在这里插入图片描述

  4. 将响应头复制出来进行修改 再重新访问URL,发现已经无法修改内容:
    http://localhost/pikaqiu.cn/vul/csrf/csrftoken/token_get_edit.php?sex=Female&phonenum=123456789&add=ShangHaiyyyy&email=lucy%40qq.com&token=204866055a6194c069448471795&submit=submit HTTP/1.1

汉堡哥哥27
关注
专栏目录
网络安全CSRF同样能携带缓存中的Token,那怎么实现的防CSRF
嗨Sirius
03-15 433
Token原理和作用 ①:token和cookie一样都是首次登陆时,由服务器下发,都是当交互时进行验证的功能,作用都是为无状态的HTTP提供的持久机制。 ②:token存在哪儿都行,localstorage或者cookie。 ③:token和cookie举例,token就是说你告诉我你是谁就可以。 cookie 举例:服务员看你的身份证,给你一个编号,以后,进行任何操作,都出示编号后服务员去看查你是谁。 token 举例:直接给服务员看自己身份证 ④:对于token而言,服务器不需要去查看你是谁,不需要
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击?
jinyangjie的博客
02-14 6981
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
关于token防止CSRF的一点想法
clover_rui的专栏
03-14 1190
一、生成策略 1、服务器端根据一定算法,生成token; 2、保存到session中; 3、前台form表单中取到session放到隐藏标签内; 4、提交表单后和session中token比较,然后失效掉原先的session; [color=red][b]示例代码:[/b][/color] [code="java"] class Token...
token防止重复提交
weixin_30621959的博客
06-06 203
Token,可以翻译成标记!最大的特点就是随机性,不可预测,一般黑客或软件无法猜测出来。 Token一般用在两个地方: 1: 防止表单重复提交 2: anti csrf攻击(Cross-site request forgery 跨站点请求伪造) 两者在原理上都是通过session token来实现的。当客户端请求页面时,服务器会生成一个随机数Token,并且将Token放置到sess...
前端安全系列之二:如何防止CSRF攻击?
最新发布
qkh1234567的博客
05-15 1225
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
token 防止csrf
weixin_30393907的博客
11-24 179
转自:ttps://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/#icomments 当前防御 CSRF 的几种策略 验证 HTTP Referer 字段 根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如需...
CSRF漏洞token防御介绍-01
09-15
CSRF 漏洞 Token 防御介绍 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的 Web 应用安全漏洞,它允许攻击者在用户不知情的情况下,伪造用户的请求,导致用户执行非预期的操作。为了防御 CSRF 漏洞...
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2482
本篇总结归纳CSRF漏洞
hucart-含有CSRF漏洞的源码.zip
12-31
在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际的示例,让我们深入探讨一下CSRF漏洞的原理、危害以及防范措施。 1. **CSRF漏洞原理**: CSRF漏洞通常发生在Web应用程序中,这些应用未对请求进行...
csrf漏洞
m0_55772907的博客
04-27 761
  CSRF(Cross-site Request Forgery,跨站请求伪造),缩写CSRF,也有少数文章称为XSRF,一种利用用户在当前已登录的Web应用程序上执行非本意操作的攻击方法(利用受害者尚未失效的身份认证信息(cookie,会话等),创建恶意伪造的web页面请求,在受害者不知情的情况下向服务器发送请求完成非法操作(转账、改密等))。   简言之,攻击者间接利用受害者合法身份,以其身份发送恶意请求。 1.2 漏洞实质   攻击者通过技术手段欺骗用户的浏览器访问
CSRF漏洞Token防御介绍
一米八多的瑞兹的博客
11-25 941
1.漏洞修补逻辑分析 CSRF漏洞实质:服务器无法准确判断当前请求是否是合法用户的自定义操作。如果服务器在用户登录之后给予用户一个唯一合法令牌,每一次操作过程中,服务器都会验证令牌是否正确,如果正确那么执行操作。不正确不执行操作。 一般情况下,给予的令牌会写入表单中隐藏域的value值中,随着表单内容进行提交。 2.简单代码模型分析 3.生成Token代码分析 Token作为识别操作是否是当前用户自己操作的唯一凭证,需要设置为复杂难以被破解的内容。 例如: function generateToken()
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 1万+
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5933
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
跨域post 及 使用token防止csrf 攻击
多崎巡礼的博客
11-21 2152
环境: 后台使用的python - flask 前台使用angular框架 1.一个跨域post的例子: 跨域post有多种实现方式: 1.CORS:http://blog.csdn.net/hfahe/article/details/7730944 2.利用iframe 3.server proxy:https://en.wikipedia.org/wiki/Proxy_server 例子...
token与cookie的区别?(token是如何避免CSRF攻击?)
宇华的博客
07-05 1623
token与cookie的区别?token是如何避免CSRF攻击的?
为什么 token可以防止 csrf?
weixin_38655450的博客
06-18 647
Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 ...
token 为什么可以防止CSRF 攻击
qq_40929531的博客
12-03 2351
token 是被开发者发送给后端的,攻击者如果无法获取到token 是无法通过后端服务器的校验的 但是cookie 不同,只要在同一个浏览器,浏览器就会自动将cookie 放入请求头中,如果用cookie 做登录验证,例如: 小明登录了csdn, 此时小明突然想到了一件事情,登录了另一个网站,而这个网站被不知名的人埋入了一些请求,这些请求是当其他人进入该网站,则请求csdn 友好的帮助访问者发布一篇文章, 假如csdn 使用的是cookie做登录判断,小明访问该网站时触发了该请求,浏览器会自动将coo
跨站攻击和利用CSRF token来防御
FinixLei的专栏 (https://github.com/FinixLei)
06-14 1851
跨站攻击: 用户首先访问网银站点,登录成功后,浏览器拿到token 用户并没有登出网银站点,此时又登录一个钓鱼站点 钓鱼站点有一个诱惑链接,用户点了此链接,此链接的内容是一个URL,而此URL的实质就是转账给钓鱼者,用的是网银的标准转账URL. 用户点此链接后,浏览器封装HTTP请求,当看见是访问那个尚未退出的网银站点,就自动加上了cookie与auth token 于是,authentica...
验证码、RefererCheck与Token防御:CSRF漏洞详解
CSRF漏洞防御是一个综合性的过程,包括但不限于验证码、Referer验证和Token机制。开发者需要在确保安全的同时,兼顾用户体验,采取多种防御手段,以构建一个健壮的Web应用防护体系。同时,持续监控和更新安全策略,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汉堡哥哥27

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值