CSRF

最新推荐文章于 2023-03-31 09:18:01 发布
最新推荐文章于 2023-03-31 09:18:01 发布
阅读量311 收藏
点赞数
文章标签: csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/G_XUI/article/details/108413459
版权

CSRF,即 Cross Site Request Forgery,中译是跨站请求伪造,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。
举个例子:
小明在刷gmail,突然看到一条链接,好奇点开了发现是个空白链接,就不管他,继续刷其他的。看似没有什么事情发生,但实际上攻击者利用这个所谓的空白页给小明偷偷设置了一个过滤规则,这个规则使他收到的邮件都转发给了攻击者。
1、攻击特点

攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生。
攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据。
整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”。
跨站请求可以用各种方式:图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中,难以进行追踪。

2、攻击流程

受害者登录a.com,并保留了登录凭证(Cookie)。
攻击者引诱受害者访问了b.com。
b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
a.com以受害者的名义执行了act=xx。
攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让a.com执行了自己定义的操作。

3、防范措施
CSRF通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对CSRF的防护能力来提升安全性。
方法一:同源验证
既然CSRF大多来自第三方网站,那么我们就直接禁止外域(或者不受信任的域名)对我们发起请求。
判断是否来自外域:
在HTTP协议中,每一个异步请求都会携带两个Header,用于标记来源域名:

Origin Header
Referer Header

这两个Header在浏览器发起请求时,大多数情况会自动带上,并且不能由前端自定义内容。 服务器可以通过解析这两个Header中的域名,确定请求的来源域。
注意:
Origin 在 IE11 中不存在,在 302 重定向中也不存在,Referrer 可以被前端隐藏不携带,如果不存在这两个请求头时,需要利用其它方式验证:
当访问源是外域时,直接拒绝访问,但要注意的是,需要过滤掉 html 页面请求,因为当请求来自搜索引擎结果页面时,也是外域访问,会被当做 CSRF 请求。
方法二、CSRF Token 验证
1、服务器生成一个Token,并把这个Token利用算法加密。要注意,这个Token不能放在Cookie中,要不然又会被冒用,一般是放在session中。
2、在页面加载时,在每个a标签和form标签中放入Token
3、服务器验证Token是否正确
缺点:实现较为复杂,工作量大,可能出现遗漏。
方法三、双重Cookie验证
利用CSRF攻击不能获取到用户Cookie的特点,我们可以要求Ajax和表单请求携带一个Cookie中的值。
1、在用户访问网站页面时,向请求域名注入一个Cookie,内容为随机字符串。
2、在前端向后端发起请求时,取出Cookie,并添加到URL的参数中。
3、后端接口验证Cookie中的字段与URL参数中的字段是否一致,不一致则拒绝。
优点:
无需使用Session,适用面更广,易于实施。
Token储存于客户端中,不会给服务器带来压力。
相对于Token,实施成本更低,可以在前后端统一拦截校验,而不需要一个个接口和页面添加。
缺点:
Cookie中增加了额外的字段。
如果有其他漏洞(例如XSS),攻击者可以注入Cookie,那么该防御方式失效。
难以做到子域名的隔离。
为了确保Cookie传输安全,采用这种防御方式的最好确保用整站HTTPS的方式,如果还没切HTTPS的使用这种方式也会有风险。
方法四、Samesite Cookie属性
Google起草了一份草案来改进HTTP协议,那就是为Set-Cookie响应头新增Samesite属性,它用来标明这个 Cookie是个“同站 Cookie”,同站Cookie只能作为第一方Cookie,不能作为第三方Cookie,Samesite 有两个属性值,分别是 Strict 和 Lax:
Set-Cookie: foo=1; Samesite=Strict
Set-Cookie: bar=2; Samesite=Lax
复制代码Samesite=Strict:严格模式
这个Cookie无论什么情况下都不能作为第三方的Cookie。
Samesite=lax:宽松模式
如果这个请求改变了当前页面或者打开新页面,且携带GET请求,则这个Cookie可作为第三方Cookie。
缺点:
1、Samesite 不支持子域,也就是说子域无法使用设置了 Samesite 的 cookie,这可能导致用户在主域登录后,前往子域页面仍需要重新登录
2、兼容性不好

G_XUI
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Bolt:CSRF扫描仪-源码
05-25
螺栓 笨拙的CSRF扫描仪 重要的 Bolt处于测试的Beta阶段,这意味着可能存在错误。 不鼓励使用此工具。 欢迎提出请求和问题。 如果您对此仓库感兴趣,我也建议您将它放在监视中。 工作流程 爬行 Bolt将目标网站爬网到指定的深度,并将找到的所有HTML表单存储在数据库中以进行进一步处理。 评估 在此阶段,Bolt找出不够强大的令牌和不受保护的形式。 比较中 此阶段专注于重播攻击场景的检测,因此检查令牌是否已发行多次。 它还计算所有令牌之间的平均,以查看它们是否相似。 还将令牌与250多种哈希模式的数据库进行比较。 观察 在此阶段,对单个网页同时发出100个请求,以查看是否为请求生成了相同的令牌。 测验 此阶段专用于CSRF保护机制的主动测试。 它包括但不限于检查moblie浏览器是否存在保护,使用自行生成的令牌提交请求以及测试是否将令牌检查到一定长度。 分析 在此阶段执行各种统计检查
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。在跨站请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
csrf校验插件-js
05-03
使用该插件可以在使用js向后端提交数据时进行csrf校验
bwapp上CSRF攻击代码
04-18
bwapp平台上的CSRF攻击演示代码。
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF跨站请求伪造CSRF PHP demo代码,带数据库,2021年5月4日,亲测可以运行
【前端安全】一、CSRF攻击和XSS攻击
weixin_39307273的博客
03-06 1361
1、CSRF CSRF,全称Cross-site request forgery(跨站请求伪造),其原理是利用用户的身份,执行非用户本身意愿的操作(隐式身份验证机制)。 形式:图片URL、超链接、Form提交等,也可以嵌入到第三方论坛、文章中等地方。 危害:攻击者可以盗用用户的身份,以用户的名义进行恶意操作,包括但不限于以用户的名义发送邮件、资金转账、网上等危害用户的操作 原理: ...
CSRF攻击原理和防范措施
林见鹿鸣
08-31 2418
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 攻击原理 CSRF是如何发生的呢,我们以网银转账为例进行说明。 首选用户通过浏览器访问网银系统 用户在网银登录后.
校招前端二面高频面试题合集
hellocoder2029的博客
09-12 332
校招前端二面高频面试题合集
前端安全系列之登录那些事
javagty6778的博客
03-07 279
无论web系统内部多么复杂,对用户而言,都是一个统一的整体,也就是说,用户访问web系统的整个应用群与访问单个系统一样,只要登录/注销一次就够了。相比于单系统登录,SSO需要一个独立的认证中心,只有认证中心能接受用户的用 户名密码等安全信息,其它系统不提供登录入口,只接受认证中心的间接授权。因为无法管理用户状态,对于要登录的页面,每次跳转新页面时都需要再次登录。② 即使攻击者通过某种方式得到了真实的口令值和签名,但是由于攻击者的客户端信息不一样,发送到服务端后,会得到不一样的签名,签名校验不能通过。
还有人在纠结Facebook cookies还是双重验证
liedaoshou的博客
10-24 393
那同样的Facebook算从验证码的登录方式其实也是一样的,准确的说你的Facebook账号不管你是购买的Facebook账号还是Facebook账号,还是你自己注册的Facebook账号,一定要有Facebook双重验证机制。他和我们的手机验证码是一个道理,你在登录Facebook账号的时候,除了你的Facebook账号和Facebook密码之外。你需要接收一个实时动态的密码。甚至说句不好听的,你可能所有用了这种插件或者这种类型的软件的人,开发者可能偷偷的给你做了很多操作,你自己都不知道而已。
实践理解 Web 安全 04 CSRF 跨站请求伪造02
皮蛋很白的博客
01-31 606
CSRF 防护策略 CSRF 通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对 CSRF 的防护能力来提升安全。 之前讲的 CSRF 的两个特点: CSRF(通常)发生在第三方域名 CSRF攻击者不能获取 Cookie 信息,只是冒用 针对这两点,我们可以专门制定防护策略: 阻止不明外域的访问 同源检测 SameSite Cookie 提交时要求附加本域才能获取的信息 CSRF Token 双重 Cookie 验证 同源检测 既然 CSRF 大多来自第三方网站
CookieCSRF(XSRF)
zollty的专栏
08-25 3017
本文是《Session和Cookie原理》的续篇。 在上一篇中,详细介绍了Cookie的原理。 下面介绍,如何Cookie的跨站共享,及CSRF(Cross-Site Request Forgery,跨网站请求伪造)攻击。 请先阅读《HTTP访问控制(CORS)》一文,以便对跨网站请求有一个初步了解。在这篇文章中提到的一点十分关键: “Fetch 与 CORS 的一个有趣的特性是,可以基于 HTTP cookies 和 HTTP 认证信息发送身份凭证。一般而言,对于跨域 XMLHttpR..
什么是XSS、CSRF、CSP?如何防止攻击
tyxjolin的专栏
03-31 1237
前端安全是Web应用程序中一个重要的环节,它可以防止各种安全攻击的发生,保护Web应用程序的安全性和可靠性。在开发Web应用程序时,应该采用一系列的防范措施来保护前端的安全。这些防范措施包括防止XSS攻击、防止CSRF攻击、使用CSP等。同时,Web应用程序也应该定期更新和升级,进行安全审计和渗透测试,发现并修复可能存在的安全问题。在实践中,要注意防止过度防御和盲目相信输入数据的情况。过度防御可能会导致Web应用程序的性能下降,同时也可能会引入新的安全漏洞。
登录的两种验证方式的区分:cookie和token
m0_73120712的博客
08-09 1990
测试小伙伴出去面试,经常会被问到你们项目登录验证是用的哪种验证方式,不同的验证方式又有哪些区别?下面就有我来问大家讲解一下,下次遇到这种问题就不慌了。前端只需要把用户名和密码传递给后端,后端收到验证成功后,通过他们内置的方式,存入session中,会生成一个唯一的标识,并通过设置响应头,回传给前端。如下图所示。浏览器如果发现响应头中有Set-Cookie,则默认在本地设置Cookie信息,并且后续发送请求时,会在请求头里自动带上cookie的信息,如下图:这样就完成了cookie校验。...
23. 云笔记项目
potato123232的博客
08-14 460
项目视频地址P31-P36需求是这样的我们简单分析一下,首先任意网站得有一个主页,主页的内容在后期修改会很频繁,所以主页要单独做一个应用,其余就是用户做一个应用,笔记做一个应用,用户与笔记各自给一个数据表,然后使用外键将两个数据表联系起来。...
Cookie API介绍
datai3890的博客
11-04 511
一.Java提供的操作Cookie的API   Java中的javax.servlet.http.Cookie类用于创建一个Cookie Cookie类的主要方法 No. 方法 类型 描述 1 Cookie(Stringname,Stringvalue) 构造方法 实...
设置cookie和session的登录双重安全加密
living_ren的博客
01-11 2382
1.登录界面提交过来的数据进行cookie和session的设置,其中cookie设置加密确保安全性 public function index(){ if(IS_POST){ $username=I('post.username'); $pwd=I('post.pwd','','md5');
传奇黑客教你绕双重验证方法!
petpig0312的博客
05-22 3033
双重验证(2FA)几乎是当下最靠谱的账户安全保护措施了,但传奇黑客 凯文·米特尼克 却发现了一个新的安全漏洞,通过向用户发送钓鱼登录页面,然后窃取用户名、密码和会话 cookie,就可以绕过双重验证。这位 15 岁就成功入侵北美防空指挥系统的 KnowBe4 首席黑客官(CHO)在一段公开的视频中演示了如何进行入侵。他通过诱导受害者访问类似于“LunkedIn.com”这样容易与知名网站混淆的域名...
python csrf
最新发布
09-19
CSRF(Cross-Site Request Forgery)是一种常见的网络安全漏洞,攻击者利用用户的身份发起恶意请求。为了防止CSRF攻击,常常需要在请求中使用CSRF-Token来验证请求的合法性。在Python中,可以通过以下几种方式获取并使用CSRF-Token来进行防护: 方法一: 使用requests库发送POST请求获取CSRF-Token,并将其作为请求参数发送。具体代码如下所示: ```python import requests import json def get_csrf_token(): headers = {} # 请根据需要设置请求头 get_token_url = "https://zsb.nwpu.edu.cn/f/ajax_get_csrfToken" response = requests.post(get_token_url, headers=headers) csrf_token = json.loads(response.text)['data'] return csrf_token ``` 方法二: 使用requests库创建Session对象,先请求登录页面获取CSRF-Token,然后使用获取到的CSRF-Token登录并进行其他操作。具体代码如下所示: ```python import requests import re def login_with_csrf_token(): login_url = 'http://example.com/login' session = requests.Session() # 先请求登录页面获取CSRF-Token login_page = session.get(login_url).text csrf_token = re.findall('csrf_token=(.*?)&', login_page)[0] # 使用获取到的CSRF-Token登录 data = { 'username': 'admin', 'password': '123456', 'csrf_token': csrf_token } login_result = session.post(login_url, data=data) # 在同一个Session下进行其他操作 data = { 'param1': 'value1', 'param2': 'value2', 'csrf_token': csrf_token } result = session.post('http://example.com/other_operation', data=data) ``` 方法三: 在请求参数中嵌入CSRF-Token。具体代码如下所示: ```python import requests def send_request_with_csrf_token(): url = 'http://example.com/submit_form' csrf_token = '1234567890abcdef' params = { 'param1': 'value1', 'param2': 'value2', 'csrf_token': csrf_token } response = requests.get(url, params=params) ``` 以上是三种常见的使用CSRF-Token的方式,具体使用哪种方式取决于你的实际需求和场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值