谈Token验证对CSRF的意义

最新推荐文章于 2024-04-14 22:43:55 发布
最新推荐文章于 2024-04-14 22:43:55 发布
阅读量3.9k 收藏 1
点赞数
分类专栏: 认证技术 文章标签: csrf 数据分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JBlock/article/details/78376961
版权

在前面我已经就DVWA作为实验环境对csrf攻击进行了测试,并且利用漏洞成功修改了密码。实现了了跨站请求伪造攻击。而攻击成功的原因就是因为验证机制不够严谨。

今天我就当前最流行的也是最安全的验证机制做一下讨论。

Csrf攻击的本质就是重要操作的所以参数都可以被攻击者猜测了解到。攻击者知道所以参数的意义就可以构造出合适的链接发起攻击。所以,有一种解决方案就是对参数进行加密,但这样对数据分析工作和数据收藏就带来很多不便。但是,使用Token就相当于在参数的最后再加一个参数。攻击者就无法构成完整的攻击者链接,完成csrf攻击。

在使用Token防御csrf攻击时步骤如下:

1.每当用户登陆成功后会随时生成一串字符串,存储在Session中。

2.在敏感操作中加入隐藏标签,value的值为Session中保存的值,如:
这里写图片描述
注:如果是Get请求则考虑把Token的值放在cookie中。

3.提交请求后,服务器会拿着session中的字符串于提交的token做比较。如果一致,则验证通过。

正如我们前面所讲,如果一个网站存在xss漏洞那么防御csrf攻击就没什么意义,因为攻击者可以通过js获取到token值。

JBlock
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
csrf token作用
neu_xiaolu的博客
06-05 1万+
作用: 是防御CSRF攻击。 如何生成? 在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。 应用: 表单中:添加隐藏字段csrf_token,来启用csrftoken验证 <form action="/add-...
通信安全//为什么 token可以防止 csrf?
weixin_37877794的博客
07-27 2288
参考 Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 所以CSRF本质原因是“重要操作的所有参数都是可以被攻击者猜测到的”,Token加密后通过Cookie储存,只有同源页面可以读取,把Token作为重要操作的参数,CSRF无法获取Token放在参数中,也无法仿造出正确的Token,就被防止掉了。
CSRF是什么
最新发布
套路猿的博客
04-14 3754
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击?
jinyangjie的博客
02-14 6734
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
csrf 生成java,一种在SpirngMVC3中防御CSRF攻击的实现
weixin_39593718的博客
03-12 215
关于CSRF是什么东西,请参见我的博文:《浅析CSRF》。本文将给出一种在 SpringMVC3+Velocity 的框架下防御CSRF攻击的解决方案。主要思想参考 EYAL LUPU[1] 的解决方案,但使用Velocity宏来进行Token值的传递,而不是使用spring form标签。一、方案概要在服务器端生成私有的会话级token使用Velocity的宏命令在客户端的Form表单中插入这...
PHP token验证生成原理实例分析
10-16
在PHP开发中,Token验证是一种常见的安全机制,用于防止跨站请求伪造(Cross-Site Request Forgery, CSRF)攻击。CSRF攻击利用了用户已经登录的状态,通过恶意构造请求,诱使用户执行非预期的操作。Token验证就是...
详解php curl带有csrf-token验证模拟提交方法
10-18
主要介绍了详解php curl带有csrf-token验证模拟提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
解决Django提交表单报错:CSRF token missing or incorrect的问题
09-17
当你遇到"CSRF token missing or incorrect"的错误时,通常意味着Django无法找到或验证表单中的CSRF令牌,这可能是由于以下几个原因: 1. **缺失的CSRF令牌**:在Django的POST表单中,你需要包含`{% csrf_token %}`...
node实现基于token的身份验证
08-27
本文将主要介绍 Node.js 实现基于 Token 的身份验证,并对 Token 验证机制进行详细分析。 传统的 Session+Cookie 身份验证 传统的 Session+Cookie 身份验证机制是目前最常用的身份验证方式。该机制的工作流程是:...
PHP实现防止表单重复提交功能【基于token验证
10-18
为了防止这种情况,开发者通常会采用各种方法,其中基于token验证是一种常用且有效的方式。本文将详细介绍如何使用PHP实现基于token验证的表单重复提交防护功能。 首先,我们需要理解token的工作原理。在用户提交...
security-csrf:Security CSRF(跨站点请求伪造)组件提供了一个CsrfTokenManager类,用于生成和验证CSRF令牌
02-05
安全组件-CSRF 安全CSRF(跨站点请求伪造)组件提供了一个CsrfTokenManager类,用于生成和验证CSRF令牌。 资源资源 并在
csrf-tokenservice:无状态CSRF(跨站请求伪造)令牌服务
04-28
CSRF \ TokenService 无状态CSRF(跨站请求伪造)令牌服务 :meat_on_bone: 安装 $ composer require schnittstabil/csrf-tokenservice 用法 <?php require __DIR__. '/vendor/autoload.php' ; use Schnittstabil \ Csrf \ TokenService \ TokenService ; // Shared secret key used for generating and validating token signatures: $ key = 'This key is not so secret - change it!' ; // Time to Live in seconds; default is 1440 seconds === 24 minutes: $
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 9423
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
CSRF TOKEN
hck341204的专栏
02-14 195
[code="java"]package com.uncle5.pubrub.web.common; import java.util.UUID; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSession; public final class CsrfToken...
csrf漏洞java防御,Spring3.x通过配置来防范csrf攻击
weixin_32620265的博客
03-12 240
CsrfTokenManager 用于管理csrfToken相关package com.web.common;import java.util.UUID;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpSession;public final class CsrfTokenManager {// ...
token为什么能防止csrf_注意!!CSRF和XSS攻防知识点来了
weixin_39740737的博客
11-29 4651
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
token 能预防csrf
06-07
是的,token 可以用于预防 CSRF(跨站请求伪造)攻击。在使用 token 的情况下,服务器会在发送表单页面时生成一个随机的 token 值,并将其存储在服务器端。在表单提交时,服务器会验证token 值是否与之前生成的值相匹配,如果不匹配,则拒绝该请求。这样就可以有效地防止 CSRF 攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值