WEB漏洞—CSRF漏洞

已于 2022-01-20 22:52:01 修改
阅读量682 收藏 1
点赞数
文章标签: 前端 csrf 安全
于 2022-01-19 21:29:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Holen_/article/details/122589031
版权

在这里插入图片描述

CSRF(跨站请求伪造)

当小白A的账户保持了某一网站的登录状态, 黑客B这个时候发送了一个链接给小白A,小白A在没有退出账户登录状态下点击了黑客B发送的链接,而此链接正是黑客B伪造的一个修改此网站信息的请求,这时网站服务器便会接收到以小白A账户的状态去请求修改黑客B伪造的数据包,从而导致小白A在不知情的情况下被篡改信息。
在这里插入图片描述

如何检测CSRF漏洞存在

这里用到Pikachu靶场中的CSRF漏洞复现

Burpsuite中有个插件叫做Generate CSRF PoC
抓包后点击右键>Engagement tools>Generate CSRF PoC
在这里插入图片描述
点开后会弹出一段HTML代码,复制该段代码,去另一个服务器粘贴并生成html文件搭建在服务器中供客户端访问使用
在这里插入图片描述在这里插入图片描述
之后查看网页相关信息有没有被修改,如果被修改则存在CSRF漏洞。反之则无。
一般测试CSRF漏洞的点就在能增删改查信息的地方,其他地方就算村子啊CSRF漏洞也没太大意义。

如何防御

  1. 当用户发送重要请求时需要输入原始密码
  2. 设置随机的Token(检测每个数据包的唯一性)
  3. 检测referer来源,请求时判断请求链接是否为当前管理员正在使用的页面(此方法可通过二次抓包获取referer来绕过)
  4. 设置验证码
  5. 限制请求方式只能为POST
恩大
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一个比较好用的CSRF跨站请求伪造工具类
孔方子的博客
02-25 666
前言描述:最近项目里,安全测试组发现通过SQL注入可以轻松登录后台管理系统,于是就加了个CSRF跨站请求伪造功能,防止被恶意登录。 以下是代码部分: package com.faw.***.common.xss; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; ...
保护您的 ASP.NET 应用程序
Lassewang的成长历程
02-03 1294
在上一期中,我讨论了构建 Web 应用程序安全性的重要性,并介绍了包括 SQL 注入和参数篡改在内的一些攻击类型,以及如何防范这些类型的攻击 (msdn.microsoft.com/magazine/hh580736)。 在本文中,我将深入探讨以下两种更常见的攻击,以帮助完善我们的应用程序保护体系:跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF)。 您可能很想知道: 只使用生产安全
web基础漏洞CSRF(跨站请求伪造漏洞)
m0_62274649的博客
10-04 1249
一些自己的小总结,有待完善
白帽子讲web安全之 跨站点请求伪造(CSRF
hhh
03-02 363
白帽子讲web安全之 跨站点请求伪造(CSRF) (有些内容纯属个人理解,如有错误请不吝指正) CSRF简介 本质: 在用户不知道的情况下,攻击者猜解出了一个正确的url,伪造访问请求并且成功访问了此url下的内容。 浏览器的cookie策略 在攻击者进行CSRF攻击时,会遇到一个问题,即要做到成功访问某些页面是需要认证的。这就涉及了cookie。 cookie分为:Session Coo...
CSRF01】跨站请求伪造——漏洞基础原理及攻防
Fighting_hawk的博客
03-14 4574
1. 理解CSRF的攻击原理; 2. 重点掌握CSRF的三种攻击方式; 3. 了解CSRF的危害; 4. 重点掌握CSRF的防御手段。
基础漏洞csrf挖掘实战
最新发布
10-07
当我们可以使目标对象浏览器发送HTTP请求到别的Web 网站时,就会发生跨站请求伪造(CSRF)攻击。该Web网站会执行一些操作,使得请求看起来是有效的,并且发自目标对象。这种攻击一般依赖于目标对象之前已经通过了具有...
CSRF漏洞详细说明
02-26
经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证...
常见WEB漏洞整理-CSRF
06-11
适合由于初学者进行框架了解,和大师傅们进行回顾
Web应用程序常见漏洞CSRF的入侵检测与防范
03-01
互联网的安全问题一直存在,并且在可预见的未来中没有消弭的迹象...跨站请求伪造(CSRF)的是Web应用程序一种常见的漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web2.0技术的应用的背景下,CSRF攻击完全可以在
跨站请求伪造CSRF
whoim_i的博客
11-24 4739
目录原理解释CSRF分类GET型POST型CSRF漏洞挖掘使用burpsuite快速生成CSRF poc防御手段 原理解释 画个丑图来解释一波 1、 用户输入账号信息请求登录A网站。 2、 A网站验证用户信息,通过验证后返回给用户一个cookie 3、 在未退出网站A之前,在同一浏览器中请求了黑客构造的恶意网站B 4、 B网站收到用户请求后返回攻击性代码,构造访问A网站的语句 5、 浏览器收到攻...
java 跨站点伪造请求_AppScan漏洞扫描之-跨站点请求伪造
weixin_33458169的博客
02-25 532
解决方案:增加一个过滤器,当请求头Referer中包含扫描里的http://bogus.referer.hcl.com时,禁止访问/******************************************************************************** @(#)CSRFilter.java 2020/4/7** Copyright 2020 emrubik...
CSRF跨站请求伪造
一条单行线
05-13 216
CSRF跨站请求伪造 跨站请求伪造通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本XSS相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户浏览器的信任,浏览器对于同一domain下所有请求会自动携带cookie。 原理 用户A正常打开网站B,并且成功登录获取cookie 用户A未退出网站B,在同一个浏览器中打开新的TAB访问了网站C 网站C的页面存有一些攻击性的代码,会发出对于网站B的一个访问请求 浏览器收到请求后,在用
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
CSRF(跨站请求伪造)漏洞
weixin_50464560的博客
08-25 1261
CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 漏洞危害 修改用户信息,修改密码,以你的名义发送邮件、发消息、盗取你的账号等 攻击条件 用户已登录存在CSRF漏洞的网站 用户需要被诱导打开攻击者构造的恶意网站 攻击过程 .
CSRF 跨站点请求伪造, 简单图解
jun2016425的博客
11-02 177
CSRF跨站请求伪造攻击(附自动化工具实战某CMS)
m0_51468027的博客
02-02 2865
一、CSRF介绍   CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,也被称为 one-click attack 或者 session riding。通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像xss漏洞,但是它与xss漏洞非常不同。xss利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。与xss攻击相比,csrf攻击往往不大流行,也难以防范,所以认为比xss漏洞更具危险性 二、CSRF漏洞原理   CS
Web 安全CSRF 攻击详解
weixin_44211968的博客
05-11 1万+
文章目录一、CSRF 简介二、CSRF 原理三、CSRF 的危害四、CSRF 的攻击类型五、CSRF 的防御1. 验证 HTTP Referer 字段2. 在请求地址中添加 token 并验证3. 在 HTTP 头中自定义属性并验证参考链接 一、CSRF 简介 CSRF(Cross Site Request Forgery,跨站域请求伪造),也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF 。 尽管听起来像跨站脚本(XSS),但它与X
CSRF功能
yeyechao的博客
08-03 318
作用:每次请求不能重复提交,防止黑客通过URL请求窃取数据 原理:每次请求都携带 随机token(该token在后台产生), 携带的token与后台的token进行对比,若相同,表示请求合法,否则请求不合法。 token法: public static String getRandomString(int length) { // length 字符串长度 StringBuffer buffer = new StringBuffer(“0123456789abcdefghijklmnopqrstuvw
跨站请求伪造(CSRF漏洞简介及靶场演示
seek_2022的博客
05-10 2642
文章目录一、CSRF漏洞简介(一)什么是CSRF?(二)CSRF的原理(三)CSRF的危害二、CSRF漏洞如何挖掘?三、靶场实战(一)线上搭建环境测试(二)靶场实战四、小结 一、CSRF漏洞简介 (一)什么是CSRFCSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者"Session Riding",通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信
csrf漏洞dvwa
09-13
CSRF(Cross-Site Request Forgery)是一种常见的Web应用程序安全漏洞,导致攻击者利用受害者的身份执行恶意操作。DVWA(Damn Vulnerable Web Application)是一个故意设计的Web应用程序,用于演示各种Web安全漏洞。 在DVWA中,可以找到一些关于CSRF漏洞的练习。要利用CSRF漏洞,攻击者需要诱使受害者访问一个包含恶意请求的网页。当受害者登录到DVWA并点击了这个网页时,他们的操作将被误导到执行攻击者指定的操作,而不是预期的操作。 在DVWA中,可以通过以下步骤来进行CSRF漏洞的测试和练习: 1. 打开DVWA,并确保已登录到应用程序。 2. 导航到"CSRF"页面或相关部分。 3. 查看该页面中的HTML源代码,查找表单或其他用户交互元素。 4. 创建一个包含恶意请求的HTML网页,可以使用类似于`<img>`或`<iframe>`标签来隐藏请求。 5. 在恶意网页中,构造一个针对目标用户的请求(例如更改密码、删除帐户等)。 6. 将恶意网页上传到一个服务器,并确保可以通过URL访问。 7. 诱使受害者点击恶意网页的链接。 8. 如果CSRF漏洞存在,并且受害者已经登录到DVWA,攻击者指定的操作将在受害者不知情的情况下执行。 请注意,演示和测试CSRF漏洞时需要遵守法律和道德规范。仅限于在授权的环境中进行此类活动,并且始终要尊重隐私权和合法性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值