CSRF 攻击是怎么回事,了解一下

最新推荐文章于 2023-09-27 20:29:34 发布
最新推荐文章于 2023-09-27 20:29:34 发布
阅读量740 收藏
点赞数 2
分类专栏: java基础 文章标签: csrf 前端 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HongZeng_CSDN/article/details/129992324
版权

跨站请求伪造(Cross-Site Request Forgery,CSRF)是一种网络安全攻击手段,攻击者利用受害者的身份,在受害者不知情的情况下发起未经授权的操作。CSRF 攻击的关键在于利用受害者在目标网站上的已有登录凭证。

以下是一个简化的 CSRF 攻击示例:

假设有一个银行网站,用户登录后可以进行转账操作。转账操作的请求格式如下

POST /transfer
{
  "to_account": "123456",
  "amount": "100"
}

攻击者发现银行网站没有对请求进行 CSRF 保护,于是制作了一个恶意网站,向所有访问者展示如下表单:

<form action="https://bank.example.com/transfer" method="POST">
  <input type="hidden" name="to_account" value="attackers_account" />
  <input type="hidden" name="amount" value="1000" />
  <input type="submit" value="点击领取免费礼品" />
</form>

当受害者访问这个恶意网站并点击“领取免费礼品”按钮时,浏览器会向银行网站发送一个转账请求。由于受害者可能已经登录了银行网站,所以其浏览器会自动附带登录凭证(如 Cookie)。银行网站收到请求后,误认为这是受害者发起的合法操作,并执行转账。

为了防止 CSRF 攻击,开发者需要采取一定的安全措施:

  1. 使用 CSRF 令牌:为每个会话生成一个随机的 CSRF 令牌,并在表单中添加该令牌。当用户提交表单时,检查请求中的令牌与会话中存储的令牌是否匹配。这样,攻击者在制作恶意表单时无法知道正确的 CSRF 令牌,从而阻止攻击。
  2. 验证请求来源:检查请求的来源(如 HTTP 头中的 Referer 和 Origin),确保请求来自合法的网站。
  3. 使用 SameSite Cookie:将登录凭证(如 Cookie)设置为 SameSite,这样浏览器会阻止跨站请求携带 Cookie。这可以在一定程度上防止 CSRF 攻击。
  4. 手动带参数:通过参数等方式手动带,可以避免 CSRF 攻击

通过这些措施,可以降低网站受到 CSRF 攻击的风险。

洪宏鸿
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF攻击:陌生链接不要随便点
知之为知之,不知为不知
10-08 793
我们结合一个真实的关于 CSRF 攻击的典型案例来分析下,在 2007 年的某一天,David 无意间打开了 Gmail 邮箱中的一份邮件,并点击了该邮件中的一个链接。过了几天,David 就发现他的域名被盗了。不过几经周折,David 还是要回了他的域名,也弄清楚了他的域名之所以被盗,就是因为无意间点击的那个链接。 那 David 的域名是怎么被盗的呢? 我们结合下图来分析下 David 域名的被盗流程: David 域名被盗流程 先 David 发起登录 Gmail 邮箱请求,然后 Gma
token和cookie的区别
热门推荐
jason121388的博客
11-05 1万+
HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie,这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上一个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
Web安全系列之CSRF攻击
Button12138的博客
12-02 1109
csrf指的是攻击者携带网站cookie,冒充用户请求的攻击行为。
网络安全CSRF漏洞:攻击原理、检测方法和防范措施
yyyyyybw的博客
09-27 828
CSRF漏洞是一种常见的网络安全威胁,但通过采取适当的防范措施,开发人员可以有效地保护他们的应用程序免受这种攻击的影响。渗透测试CSRF漏洞是一种重要的安全实践,帮助发现并解决潜在的风险。通过理解CSRF攻击的原理和防范措施,您可以更好地保护您的应用程序和用户的安全。如果你也想学网络安全渗透测试技术,你可以领取下面这套入门到进阶提升视频教程+配套笔记资料学习,希望可以帮到你!网络安全(黑客)自学笔记+学习路线+配套视频教程(超详细)t=N7T8。
常见的Web攻击手段之CSRF攻击
weixin_45116657的博客
10-11 1124
对于常规的Web攻击手段,如XSS、CRSF、SQL注入、(常规的不包括文件上传漏洞、DDoS攻击)等,防范措施相对来说比较容易,对症下药即可,比如XSS的防范需要转义掉输入的尖括号,防止CRSF攻击需要将cookie设置为httponly,以及增加session相关的Hash token码 ,SQL注入的防范需要将分号等字符转义,等等做起来虽然筒单,但却容易被忽视,更多的是需要从开发流程上来予...
Python Django框架防御CSRF攻击的方法分析
09-18
首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单中添加一个名为`<input type="hidden" name="csrfmiddlewaretoken" value="..." />...
XSS与CSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
在Django中预防CSRF攻击的操作
09-17
CSRF攻击是一种恶意利用用户已登录的身份进行非法操作的网络攻击方式,它通过伪装成用户来执行非用户意愿的操作,例如修改用户资料、进行支付等。为了保护用户的隐私和财产安全,Django提供了内置的CSRF防护机制。 ...
跨站攻击(XSS+CSRF).docx
最新发布
01-05
3. 从攻击者和受害者角度理解CSRF攻击,实施Low、Medium、High等级的CSRF攻击。 4. 学习并实践CSRF的修复措施,如使用CSRF Token等。 5. 撰写实验报告,注重规范性、逻辑性和表达清晰度。 实验过程中,学生将使用...
保护ASP.NET应用免受CSRF攻击
12-22
即使知名服务如Gmail也曾遭受过CSRF攻击攻击者通过CSRF攻击可以执行多种非法操作,例如发送伪装的邮件、发布恶意信息、窃取用户账号或者进行资金转移等,严重侵犯用户的隐私和财产安全。CSRF攻击的核心在于攻击...
CSRF攻击以及应对策略
qq_45632139的博客
06-29 383
CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF攻击介绍及防御 CS
如何防止CSRF攻击
半夏_2021的博客
05-04 862
如何防止CSRF攻击
CSRF攻击的解决方案
qinheJ的博客
08-09 6596
CSRF 背景与介绍   CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。   然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail...
什么是CSRF攻击?要如何来防范?
javagty6778的博客
03-04 182
面试官:给我讲讲网站常会受到哪些攻击,怎么去防范呢我:比如XSS攻击,SQL注入等还有CSRF。面试官:好,你给我详细说说CSRF吧。我:💥💥。。。。跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。如:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。
csrf攻击精简总结(原创)
qq_56438857的博客
05-25 804
关于csrf的相关总结,送给学弟学妹。原创非复制。
不好,有敌情,遭到CSRF攻击网络安全篇】
Y525698136的博客
04-12 199
相信到这里,你对CSRF攻击也有一些了解了,这种攻击方式是黑客利用我们登录的这种状态,在我们登录的网站里操作了一些隐私敏感的功能,但我们通过相对应的防御手段就可以防御住这波敌情,最终取得胜利。
什么是CSRF 攻击,怎样防御CSRF攻击
canduecho的专栏
06-02 969
CSRF(Cross-site request forgery)攻击是一种利用用户在已登录网站上的身份来伪造用户请求的攻击方式,造成用户数据的损失或网络安全的风险。CSRF 攻击一般是攻击者通过某些手段,伪造用户请求,让用户在不知情的情况下,达到攻击者预期的目的,主要涉及以下步骤:1. 攻击者获取用户已登录的 Cookie 信息。2. 攻击者构造一些恶意代码,将这些代码注入到受害者的浏览器中。”>4. 受害者浏览器访问攻击网站时,将自动向受害者之前已登录过的网站发送请求(上面存在的请求)。
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 6897
什么是CSRF攻击,如何防范CSRF攻击
CSRF】学习关于CSRF攻击和防范
NineWaited的博客
03-13 1610
关于CSRF攻击的相关信息,包括如何怎么发生,发生场景和如何防范
CSRF课程.pdf
01-25
CSRF课程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值