跨站请求伪造CSRF(防御实例)

最新推荐文章于 2024-04-04 14:27:45 发布
最新推荐文章于 2024-04-04 14:27:45 发布
阅读量658 收藏
点赞数
分类专栏: 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IT_LOSER/article/details/79910406
版权

 

 

package com.wy.controller.console;


import java.io.IOException;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.Enumeration;
import java.util.UUID;


import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;


import com.wy.domain.tool.CommonUtils;


/**
 * @desc CSRF防御跨站点伪造
 * 
 * @author hanfeng
 */
public class CsrfFilter implements Filter {


public static final String SPRING_MACRO_REQUEST_CONTEXT_ATTRIBUTE = "springMacroRequestContext";

@SuppressWarnings("unused")
private int cookieMaxAge;

public void doFilter( ServletRequest request, ServletResponse response, FilterChain chain ) throws IOException, ServletException {

HttpServletRequest httpReq = (HttpServletRequest) request;
HttpServletResponse httpResp = (HttpServletResponse) response;


HttpSession session = httpReq.getSession();

// 从 HTTP 头中取得 Referer 值
String referer = httpReq.getHeader( "Referer" ) ;

// 从 session 中得到 csrftoken 属性
String sToken = (String) session.getAttribute( "csrftoken" );


Cookie cookie = new Cookie( "csrftoken", sToken );

httpResp.addCookie(cookie);

//从Cookie里获取上次存入的refer信息
String refererTwo = cookie.getValue();

//判断是否为手机端访问
if( containsUrl( httpReq.getRequestURI() ) ){

chain.doFilter( request, response );

return;
}

if( sToken == null ) {
// 产生新的 token 放入 session 中
sToken = getUUID();

session.setAttribute( "csrftoken", sToken );

chain.doFilter( request, response );

 

 

} else if (sToken != null || ( referer != null || ( refererTwo != null ) ) && ( referer.trim().startsWith( CommonUtils.getRefererUrl() )  || refererTwo.trim().startsWith( CommonUtils.getRefererUrl() ) ) ) {

// 判断 Referer 是否以****** 开头 以及 sToken不为空


// 从请求参数中取得 csrftoken

String pToken = getRequestParams( httpReq, "csrftoken" );

String headerCsrfToken = cookie.getValue();

if ( sToken != null && pToken != null && ( sToken.equals( pToken ) || sToken.equals( headerCsrfToken ) ) ) {

chain.doFilter( request, response );

}else{

httpResp.sendRedirect( httpReq.getContextPath()+"/error.jsp" );

}
} else {

httpResp.sendRedirect( httpReq.getContextPath()+"/error.jsp" );

}

}

/**
* @desc 从request中获取参数

* @param request
* @param parameterName
* @author hanfeng
* @return
*/
@SuppressWarnings("unchecked")
private String getRequestParams( HttpServletRequest request, String parameterName ) {

Enumeration enums = request.getParameterNames();

String val = "";

while( enums.hasMoreElements() ){

String key = (String)enums.nextElement();

if( parameterName.equals( key ) ){

val = request.getParameter( key );
break;

}

}

return val;

}

/**
* @desc 自动生成UUID

* @author hanfeng
* @return
*/
public static String getUUID() {

UUID uuid = UUID.randomUUID();

String str = uuid.toString();

// 去掉"-"符号
String temp = str.substring( 0, 8 ) + str.substring( 9, 13 ) + str.substring( 14, 18 ) + str.substring( 19, 23 ) + str.substring( 24 );

return temp;

}


/**
* @desc Cookies信息超时

* @author hanfeng
*/
public void init(FilterConfig config) throws ServletException {


String cookieMaxAgeStr = config.getInitParameter("cookieMaxAge");

        if (cookieMaxAgeStr != null) {
       
            try {
           
                cookieMaxAge = Integer.parseInt(cookieMaxAgeStr);
                
            } catch (NumberFormatException nfe) {
           
                throw new ServletException("cookieMaxAge must be an integer: " + cookieMaxAgeStr, nfe);
                
            }
            
        } else {
       
            cookieMaxAge = 600; // 60*10 seconds = 10 min
            
        }

}


@Override
public void destroy() {

}


public static boolean containsUrl(String url) {

boolean ret = false;
/*不需要禁止访问的项目内方法*/
String[] array = new String[] {
"pAdwordCircleController", "pNewsController", 
"pInfoDisclosuresController", "pRegistController",
"pLoginController", "pMobileMessageController",
"pUserInfoController", "pQueryInfoController",
"pObjectionController", "pSuggestionsController",
"pInfoPolicyController", "pUpdateController",
"pReportController", "pMemberCostController"
};

ArrayList<String> arrayList = new ArrayList<String>(Arrays.asList(array));

for (int i = 0; i < arrayList.size(); i++) {

if( url.contains(arrayList.get(i).toString()) ){

ret = true;

break;
}

        }

return ret;

}

}

IT_LOSER
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS跨站脚本攻击剖析与防御
04-03
- 跨站请求伪造CSRF):XSS可以辅助CSRF攻击,让受害者在不知情的情况下执行操作,如转账、更改设置等。 3. **XSS攻击实例**: - 3.7 "attackapi.pdf"可能介绍了攻击者如何利用API接口进行XSS攻击,这通常涉及...
webProject:具有XSS,SQL注入和Croos站点请求伪造跨站点脚本
03-04
在IT安全领域,Web应用程序常常面临多种威胁,其中包括SQL注入、XSS(跨站脚本)和CSRF跨站请求伪造)。这个名为"webProject"的项目显然旨在模拟这些常见漏洞,帮助开发者和安全研究人员了解它们的工作原理,以及...
CSRF跨站请求伪造原理、过程、防御方案
qq_37432174的博客
11-23 2421
3.即便黑客无法篡改 Referer 值,因为 Referer 值会记录下用户的访问来源,有些用户认为这样会侵犯到他们自己的隐私权,因此用户自己可以设置浏览器使其在发送请求时不再提供Referer。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。服务器用同样的HS256算法和同样的密钥,对数据再进行一次签名,和客户端返回的Token的签名进行比较,如果验证成功,就向客户端返回请求的数据。
【burpsuite安全练兵场-客户端12】跨站请求伪造CSRF-12个实验(全)
热门推荐
01-15 1万+
【BP靶场portswigger-客户端12-跨站请求伪造CSRF】12个实验-万文详细步骤
csrf防御 php,跨站请求伪造CSRF防御实例(PHP版本)
weixin_39604092的博客
03-17 87
跨站请求伪造CSRF防御:One-Time Tokens(不同的表单包含一个不同的伪随机值)在实现One-TimeTokens时,需要注意一点:就是“并行会话的兼容”。如果用户在一个站点上同时打开了两个不同的表单,CSRF保护措施不应该影响到他对任何表单的提交。考虑一下如果每次表单被装入时站点生成一个伪随机值来覆盖以前的伪随机值将会发生什么情况:用户只能成功地提交他最后打开的表单,因为所有其他的...
CSRF跨站请求伪造原理及示例
m0_62480631的博客
04-04 2140
CSRF,全称为Cross-Site Request Forgery,即跨站请求伪造。这是一种攻击方式,它利用用户已登录的身份,在用户毫不知情的情况下,以用户名义执行非法操作。简单来说,就是攻击者诱导用户访问一个恶意网页,该网页利用用户当前的会话(例如,用户登录了一个网站后的cookie信息),在后台向另一个网站发起非法请求CSRF攻击也成为"one click"攻击。
跨站请求伪造CSRF)示例、原理及其防御措施
laker的博客
03-04 1984
文章目录概述例子原理防御使用token验证判断Referer/OriginSameSite Cookie属性 概述 CSRF是Cross Site Request Forgery的缩写,中文翻译过来是跨站请求伪造。它欺骗用户在当前已通过身份验证的Web应用程序上执行不需要的操作。在社交软件的帮助下(例如通过电子邮件或聊天发送链接),攻击者可能会欺骗Web应用程序的用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF攻击会迫使用户执行状态更改请求,例如转账,更改其电子邮件地址等。如果受害者是管理帐
2021/10/10 跨站请求伪造CSRF,服务端请求伪造SSRF
weixin_44532761的博客
12-14 192
CSRF( Cross-site request forgery,跨站请求伪造)也被称为 One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)也难以防范,所以被认为比XSs更具危险性。 ...
跨站请求伪造CSRF (Cross-site request forgery)
太阳晒屁股了的博客
11-14 522
CSRF原理:CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 一,CSRF攻击流程:其中Web A...
CSRF(Cross-site request forgery)跨站请求伪造
weixin_59496235的博客
03-26 986
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。我们通常是给受害者发送一个链接,而在正常的情况下人们通常不会点击一个很长的、看起来就不正常的链接,这个就需要利用到社会工程学,学会利用人们的心理来达到我们的目的,诱使他们点击我们构造的链接,这种情况下我们需要把长的链接转化成一个短的链接,而网上正好可以找到很多这种在线的工具。
CSRF跨站请求伪造
WindrunnerMax
03-04 1619
CSRF跨站请求伪造 跨站请求伪造通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本XSS相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户浏览器的信任,浏览器对于同一domain下所有请求会自动携带cookie。 原理 用户A正常打开网站B,并且成功登录获取cookie 用户A未退出网站B,在同一个浏览器中打开...
django在接受post请求时显示403forbidden实例解析
12-23
在Django框架中,当你尝试发送一个POST请求到服务器时,如果遇到403 Forbidden错误,这通常意味着请求被拒绝,因为Django的安全机制没有找到有效的CSRF跨站请求伪造,Cross-Site Request Forgery)令牌。CSRF是...
CSRF攻击的应对之道
01-30
SiteRequestForgery,跨站请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保 护之下的操作,有很大的危害性。然而,...
avif-0.5.0-cp37-cp37m-manylinux2010_i686.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
[毕设]HTTP代理服务器开发与实现.zip
07-27
[毕设]HTTP代理服务器开发与实现
PyQt5-5.15.11-cp38-abi3-win32.whl
最新发布
07-27
pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。
jupyterlab_broccoli_turtle-0.4.7-py3-none-any.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
pillow-10.4.0-cp311-cp311-win32.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
fastapi CSRFMiddleware安装
07-13
FastAPI的CSRF Middleware(跨站请求伪造防御)主要用于保护应用程序免受恶意用户的攻击。要在FastAPI应用中安装并启用CSRF Middleware,你可以按照以下步骤操作: 1. 安装依赖:首先,你需要安装`fastapi-csrf-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT_LOSER

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值