web安全——CSRF攻击

最新推荐文章于 2023-06-19 17:52:07 发布
最新推荐文章于 2023-06-19 17:52:07 发布
阅读量262 收藏
点赞数
分类专栏: 前端知识 文章标签: web安全 CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SJ1551/article/details/109219723
版权

CSRF(Cross—Site Request Forgery)跨站点请求伪造,主要是利用浏览器端未过期的cookie信息伪造身份通过服务器的身份验证。

一、示例

现在有一个存在CSRF漏洞的网站A,攻击者的网站B,用户User

  1. 用户打开浏览器访问网站A,登录用户密码;
  2. 网站A返回用户的cookie信息,保存到用户浏览器;
  3. 用户未退出网站A之前,打开一个Tab页面,访问攻击者网站B;
  4. 攻击者返回一段代码,这段代码将会在用户浏览器自动执行并向刚刚的网站A发起一个请求;
  5. 由于浏览器请求会自动携带上cookie,A网站直接使用cookie通过身份验证,攻击者完成身份伪造。
二、防御
  1. 验证 referrer(同源策略)
    (1)原理: referrer 字段记录的是请求是从哪个网站发送来的,由浏览器生成,新版浏览器一般无法自己伪造。攻击者只能在他自己的网站里边发起请求,浏览器自动带上的referrer是攻击者的网址。服务器只要检测referer是不是自己信任的网站即可。
    (2)缺陷:
    a. 部分旧版浏览器发现其referrer可以被篡改
    b. 用户可能由于维护隐私要求浏览器不自动携带referrer字段,这可能会导致一些合法用户的合法请求被服务器拒绝
最低0.47元/天 解锁文章
Novice-XiaoSong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF网站攻击解决方式
qq_27394335的博客
07-31 544
1.CSRF(cross-site request forgery),跨站请求伪装 顾名思义,用户角度,访问成功并且登录成功我们的网站,没有推出情况下,又访问了病毒网站,于是病毒网站通过用户端,拿着用户的缓存请求我们的网站(尤其是些增删改查的致命操作),于是乎,成功影响了我们的网站,web-died。 登录成功(未退出) User(A)-------------...
Django CSRF跨站请求伪造防护过程解析
01-01
前言 CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A的cookies。 2、用户在访问恶意网站B, 网站B上有某个隐藏的链接会自动请求网站A的链接地址,例如表单提交,传指定的参数。 3、恶意网站B的自动化请求,执行就是在用户A的同一个浏览器上,因此在访问网站A的时候,浏览器会自动带上网站A的cookies。 4、所以网站A在接收到请求之后,可判断当前用户登录状态,所以根据
XSS,CSRF攻击及预防等一些web安全问题
D_Z_Yong的博客
03-18 8975
一.XSS 1.定义 xss中文名:跨站脚本攻击。 xss的重点不在于跨站点,而是在于脚本的执行,当用户浏览该页面的时候,那么嵌入到web页面的script代码会执行,因此会到达恶意攻击用户的目的 2.分类(3种) .反射型(非持久(一次性)、需要服务器) 一般指攻击者通过诱惑的方式来诱惑用户去访问一个包含恶意代码的url,当点击时就会直接在主机浏览器上执行(会获取cookie的信息) 存...
怎么防止跨站请求伪造攻击CSRF)?
dzqxwzoe的博客
02-24 1424
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。下面用一个银行网站的转账功能,说明攻击原理。
跨站请求伪造(CSRF)、主机头攻击、非GET/POST方法预防,一篇就够!
m0_47905795的博客
06-19 963
当前在处理系统安全测试缺陷问题时,发现诸多安全问题,记录解决过程和方法,分享共勉。解释:在计算机网络中,主机头攻击是一种网络安全攻击方式,它利用了网络协议栈中的缺陷,以伪造的IP地址为源地址向网络发送数据包,目的是在欺骗目标主机,使其认为这些数据包是从指定的合法源发出的,并从而欺骗目标主机执行一些攻击者预期的动作。主机头攻击通常也被称作,攻击者会伪造数据包中的。
网络安全 kali Web安全CSRF攻击
xueshenlaila的博客
03-16 861
CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。
web安全超实用超文档
01-06
下面,我们将详细探讨标签中提及的两种主要安全威胁——跨站脚本攻击(XSS)和跨站请求伪造(CSRF),以及相关的防范措施。 首先,让我们来了解一下XSS(Cross-Site Scripting)。这是一种常见的Web应用安全漏洞,...
WEB安全渗透课程ppt
01-04
WEB安全渗透课程】是针对网络安全领域中的一个重要分支——Web应用程序的安全性进行深入探讨的教程。这门课程基于"CISP-PT"(Certified Information Security Professional - Penetration Testing)认证教材,旨在...
WEB渗透——新手入门之初级工具利用
01-16
WEB渗透,也称为Web应用渗透测试,是评估Web应用程序安全性的过程,通过模拟恶意攻击者的行为来查找并利用潜在漏洞。对于新手来说,了解基础工具和技术是入门的关键。 1. **信息收集**:首先,渗透测试通常从信息...
web系统——webShop
04-04
5. **安全性**:WebShop需要考虑的安全因素包括防止SQL注入、XSS攻击CSRF攻击。它可能使用HTTPS协议来加密传输数据,以及JWT(JSON Web Tokens)或OAuth进行用户身份验证。 6. **模板引擎**:为了快速生成动态...
斯坦福大学web安全教程
10-12
【斯坦福大学Web安全教程】是一系列深入探讨网络安全性的重要教育资源,由世界知名学府——斯坦福大学提供。这个教程全面覆盖了Web安全的基础到高级主题,旨在帮助学生和专业人士理解并应对日益复杂的网络安全挑战。...
CSRF 跨站攻击
lcf枫的博客
06-24 859
CSRF 跨站攻击 CSRF (Cross Site Request Forgrey).是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 原理: 站内发送请求一般需要一个登陆了的标志。一般存储在cookies 中。这个cookies会存在浏览器中,而发送请求的时候都会带上这个cookies。hacker 无法拿到这个数据。但是可以通过发送请求都会带上cookies...
Web安全:跨站点攻击csrf
flying meng的菜鸟居
04-25 3233
什么是CSRF? 你可以理解为:攻击者盗用你的身份,以你的名义发送恶意请求。它被称为“跨站请求伪造”。它能干的事情有很多:当你打开某个网站时,你另一个已经打开的购物网站已经完成支付;以你名义发送邮件,发评论;网络蠕虫;虚拟货币转账… CSRF攻击流程 用户登录A网站(受信任的) A网站确认身份 在A中访问B网站链接(危险的) B网站拿到A中的 cookie 后绕过A网站前端直接向其服务器发送请求 这看似简单,其中却有一些值得注意的问题。比如: 1. B网站向A服务器发送请求,是否会导致跨域问题? 不会。
跨站请求伪造(CSRF攻击原理及预防手段
m0_47905795的博客
06-02 5437
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
Web安全—跨站请求伪造攻击CSRF
weixin_44431280的博客
02-04 724
CSRF(Cross-site request forgery)跨站请求伪造 提要:CSRF(Cross-site request forgery)跨站请求伪造属于客户端攻击,一句话可以总结为:攻击者盗用了用户的身份信息,以用户的名义发送恶意请求,对服务器来说这个请求是用户发起的,但却完成了攻击者所期望的一个操作。 原理讲解: 第一步:用户通过浏览器登陆访问目标网站A,网站A会返回给浏览器用户的认证信息(cookie或sessionid),此时对于网站A,用户的请求都是合法的 第二步:在网站A不退出,浏览
网络安全-跨站请求伪造(CSRF)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
sessionStorage如何在多个tab间共享
Novice-XiaoSong的博客
10-23 1937
假设在A页面中有sessionStorage B页面必须是在A页面中使用window.open(url)方法打开,才能在B页面中使用A页面的sessionStorage
HTTP各版本简介
Novice-XiaoSong的博客
10-17 948
HTTP1.0 1. 请求方法 GET,POST,HEAD 2. 缺点 无状态:服务器不会记录上一次请求的任何内容,会出现类似于重复验证身份的情况。(可通过cookie, session, token解决) 无连接:每个http请求都需要建立一次TCP连接,多次TCP连接握手耗时。 不安全:数据以明文传输,容易被窃取;没有对访问对象进行身份验证,容易出现假网站情况;报文完整性难以验证,容易出现被插入恶意广告等情况。 3. GET vs. POST GET 主要用于从服务器获取资源;POST 主要是利用
跨站攻击(XSS+CSRF).docx
最新发布
01-05
实验目的与要求 1. 能理解XSS注入原理; 2. 能应用Low等级、Medium等级、High级别的XSS; 3. 能理解XSS的修复。 4. 能从攻击者角度、受害者角度描述CSRF; 5. 能应用Low等级、Medium等级的CSRF实现; 6. 能摸索High级别的CSRF实现; 7. 能理解CSRF的修复。 2. CSRF定义 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 3. 实验内容 利用Kali Linux对DVWA的Reflected Cross Site Scripting (XSS)/Stored Cross Site Scripting (XSS)模块,包括: 1) Low等级;(15分) 2) Medium等级;(10分) 3) High级别;(10分) 4) Impossible等级的机制以及修复、防御方法。(10分) 5) 报告撰写规范程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值