csrf攻击(跨站请求伪造)【1】

已于 2024-05-15 16:39:52 修改
阅读量239 收藏 3
点赞数 3
文章标签: csrf 前端
于 2024-04-28 15:09:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LfanBQX/article/details/138224948
版权
本文详细介绍了CSRF攻击的过程,包括攻击原理、可能导致的危害如数据篡改和隐私泄露,以及论坛、用户中心等高发场景。同时,文章还列举了防御CSRF的方法,如防止记住密码、使用验证码和检查HTTPReferer等。
摘要由CSDN通过智能技术生成

1.csrf介绍

攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

如上图所示,CSRF攻击攻击原理及过程如下:

(1)用户打开浏览器,访问受信任银行网站A,输入用户名和密码请求登录网站;

(2)在用户信息通过验证后,网站产生Cookie信息并返回给浏览器,此时用户登录网站成功,可以正常发送请求到网站;

(3)用户未退出银行网站之前,在同一浏览器中,打开一个TAB页访问其他网站B;

(4)这时候网站B 已被黑客注入诱导信息,假如是一张图片,图片地址指向黑客构造的恶意url,该url能完成黑客想干的某件事,比如修改用户的密码;

(5)多数情况下,浏览器接收到这个url 请求会失败,因为它要求用户的认证信息。但是,如果用户还未退出网站A,或者当时恰巧刚访问网站A不久,他的浏览器与网站A之间的session 尚未过期,浏览器的cookie 之中含有用户的认证信息。这时,悲剧发生了,这个url 请求就会得到响应,黑客就能以用户的权限修改密码,且用户毫不知情。
                       
原文链接:https://blog.csdn.net/xv7777666/article/details/130010807

2.csrf危害

(1)篡改目标网站上的用户数据
(2)盗取用户隐私数据
(3)作为其他攻击向量的辅助攻击手法
(4)传播 CSRF 蠕虫

3.csrf高发点

(1)论坛交流
(2)用户中心
(3)反馈留言
(4)交易管理
(5)后台管理

4.csrf漏洞检测

5.csrf防御

(1)不允许浏览器记住密码
(2)使用验证码
(3)检验HTTP Referer来源
(4)随机Token验证
(5)refer头:Referer标识当前请求的来源页面,浏览器访问时除了自动带上Cookie还会自动带上Referer,所以服务端可以检测Referer头是否本网站页面来决定是否响应请求。

备注:短链接生成工具:http://ddz.ee

LfanBQX
关注
Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御
oscar999的专栏
07-17 1446
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF攻击过程。...
什么是CSRF跨站请求伪造)?
流楚丶格念的博客
02-13 2206
文章目录1. CSRF是什么?1.1 CSRF攻击细节CSRF攻击原理及过程如下:2. CSRF漏洞检测3. 防御CSRF攻击:3.1 验证 HTTP Referer 字段3.1.1 优点:3.1.2 缺点:3.2 在请求地址中添加 token 并验证3.3 在 HTTP 头中自定义属性并验证 1. CSRF是什么? CSRF(Cross-site request forgery),也被称为:one click attack/session riding,中文名称:跨站请求伪造,缩写为:CSRF/XSRF。
CSRF跨站请求伪造
YhMjQx的博客
08-20 699
Crose-Site Request Forgery,跨站请求伪造攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行点击。用户一旦点击,整个攻击也就完成了。所以CSRF攻击也被称为“one click”攻击。用户登录受信任的网站 A,并在本地生成了相应的 Cookie 用于身份验证。网站 A 没有对用户请求进行有效的同源验证。
CSRF跨站请求伪造攻击
qq_68163788的博客
02-05 1679
CSRF(Cross-Site Request Forgery)是一种网络安全攻击攻击者利用用户已经登录的身份,在用户不知情的情况下发送恶意请求,以执行某些操作或获取用户的敏感信息。攻击者通常会诱使用户访问包含恶意请求的页面,或者通过其他方式注入恶意代码,以触发CSRF攻击CSRF攻击通常利用用户在其他网站上的身份验证信息,因此攻击者可以利用这些信息来执行恶意操作,比如更改用户密码、转账、发送消息等。由于CSRF攻击利用了用户的信任和已登录的身份,因此很难被用户察觉。
CSRF跨站请求伪造)漏洞介绍
weixin_56233402的博客
07-28 872
Cross-site request forgery 简称为“CSRF”,在CSRF攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。
CSRF 跨站请求伪造
m0_69043895的博客
04-19 1108
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
如何识别和防范跨站请求伪造CSRF)?
盼盼盼的博客
09-09 539
识别和防范跨站请求伪造CSRF)的关键在于理解其攻击原理并采取相应的措施。
SpringSecurity原理解析(八):CSRF防御解析
最新发布
liang8999的博客
09-16 438
在自定义SpringSecurity配置文件中的configure方法中,通过 HttpSecurity 先调用csrf()从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,2)请求到来时,程序会从请求中获取提交的csrfToken,同时会从HttpSession中获取。之前存储的csrfToken进行比较,如果相同则认为是合法的请求,继续后面的操作,这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验,来检查 Referer字段。
-webkit-box-reflect属性与倒影效果的实现
读心悦
09-13 410
是一个非标准的 CSS 属性,主要用于在 WebKit 浏览器(如 Chrome 和 Safari)中创建元素的倒影效果。这个属性并不是 CSS 规范的一部分,但在实践中经常被用来实现简单而有趣的视觉效果。
Vue使用query传参Boolean类型,刷新之后转换为String问题
q879936814的博客
09-12 400
要解决这个问题,不能直接Boolean处理,因为如果传入false,那么转换成字符串,Boolean(‘false’)会变成true;做项目时发现第一次进入页面时传参是正常的Boolean类型,刷新之后变成了String,这是浏览器进行的一次强制转换;解决方法:使用JSON.parse处理参数。
JS笔记
2201_76100326的博客
09-11 527
Math对象属于Javascript内置对象,无需实例化(不需要添加new ),可以直接使用。只有一个Math.PI的属性。
uniapp中实现<text>文本内容点击可复制或拨打电话
GoppViper的博客
09-16 331
标签时,会弹出一个操作菜单,用户可以选择复制电话号码或者直接拨打该号码。uni.setClipboardData用于实现复制功能,uni.makePhoneCall用于实现拨打电话功能。在上述代码中,当点击包含电话的。template 部分。
WebGL系列教程六(纹理映射与立方体贴图)
AIGIS的博客
09-12 1265
上一讲我们讲了如何使用索引绘制彩色立方体,还留了一个思考题:怎么让立方体的每个面都保持一个颜色?这一讲我们就来解决这个问题,并引出纹理映射和立方体贴图。其实这个词语还是比较好理解。见名知意,大概意思就是把纹理映射到某个地方,纹理是什么?现在你可以简单的认为纹理就是一张图片。把一张二维的图片映射到一个三维物体的表面,就叫纹理映射。本节我们从如何将立方体每个面的颜色改为相同的颜色开始,介绍到了如何将图片贴到立方体的表面,系统的分析了为什么不能再共用顶点,并将代码进行了修改,以及讲解了纹理坐标的使用。
Vue3中slot插槽的几种使用实践
小小默:进无止境
09-14 546
父组件子组件父组件中Category 组件标签内的东西将会呈现在子组件slot的位置(进行替换)。
前端CSS面试常见题
m0_73761441的博客
09-11 571
前端CSS面试常见题,包含边界塌陷、bfc、csshack、src和href的区别、浏览器内核、兼容性问题、flex和grid优劣对比
vue3 透传 Attributes
咸鱼滚滚
09-15 674
“透传 attribute”指的是传递给一个组件,却没有被该组件声明为 props 或 emits 的 attribute 或者 v-on 事件监听器。 当一个组件以单个元素为根作渲染时,透传的 attribute 会自动被添加到根元素上。 最常见的例子就是 class、style 和 id。
深入探讨ES6高级特性与实际应用
weixin_52392194的博客
09-09 1389
可以自定义迭代器以适应特定的需求。例如,创建一个自定义集合类并实现yield item;// 输出 1, 2, 3, 4自定义迭代器增强了数据结构的灵活性,使得可以实现自定义的遍历逻辑。
登录CSRF攻击与强化跨站请求伪造防御策略
这篇研究论文主要探讨了针对跨站请求伪造CSRF攻击的强化防御策略。跨站请求伪造是一种常见的网络安全漏洞,攻击者能够通过伪造请求,使用户在不知情的情况下执行非预期的操作。文中提出了一种新的CSRF攻击变种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值