web安全——CSRF攻击

最新推荐文章于 2023-06-02 23:58:05 发布
最新推荐文章于 2023-06-02 23:58:05 发布
阅读量277 收藏
点赞数
分类专栏: 前端知识 文章标签: web安全 CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SJ1551/article/details/109219723
版权

CSRF(Cross—Site Request Forgery)跨站点请求伪造,主要是利用浏览器端未过期的cookie信息伪造身份通过服务器的身份验证。

一、示例

现在有一个存在CSRF漏洞的网站A,攻击者的网站B,用户User

  1. 用户打开浏览器访问网站A,登录用户密码;
  2. 网站A返回用户的cookie信息,保存到用户浏览器;
  3. 用户未退出网站A之前,打开一个Tab页面,访问攻击者网站B;
  4. 攻击者返回一段代码,这段代码将会在用户浏览器自动执行并向刚刚的网站A发起一个请求;
  5. 由于浏览器请求会自动携带上cookie,A网站直接使用cookie通过身份验证,攻击者完成身份伪造。
二、防御
  1. 验证 referrer(同源策略)
    (1)原理: referrer 字段记录的是请求是从哪个网站发送来的,由浏览器生成,新版浏览器一般无法自己伪造。攻击者只能在他自己的网站里边发起请求,浏览器自动带上的referrer是攻击者的网址。服务器只要检测referer是不是自己信任的网站即可。
    (2)缺陷:
    a. 部分旧版浏览器发现其referrer可以被篡改
    b. 用户可能由于维护隐私要求浏览器不自动携带referrer字段,这可能会导致一些合法用户的合法请求被服务器拒绝
最低0.47元/天 解锁文章
Novice-XiaoSong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF 跨站攻击
lcf枫的博客
06-24 865
CSRF 跨站攻击 CSRF (Cross Site Request Forgrey).是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 原理: 站内发送请求一般需要一个登陆了的标志。一般存储在cookies 中。这个cookies存在浏览器中,而发送请求的时候都带上这个cookies。hacker 无法拿到这个数据。但是可以通过发送请求都带上cookies...
怎么防止跨站请求伪造攻击CSRF)?
dzqxwzoe的博客
02-24 1471
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机才越多。不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。下面用一个银行网站的转账功能,说明攻击原理。
Web安全跨站攻击csrf
flying meng的菜鸟居
04-25 3252
什么是CSRF? 你可以理解为:攻击者盗用你的身份,以你的名义发送恶意请求。它被称为“跨站请求伪造”。它能干的事情有很多:当你打开某个网站时,你另一个已经打开的购物网站已经完成支付;以你名义发送邮件,发评论;网络蠕虫;虚拟货币转账… CSRF攻击流程 用户登录A网站(受信任的) A网站确认身份 在A中访问B网站链接(危险的) B网站拿到A中的 cookie 后绕过A网站前端直接向其服务器发送请求 这看似简单,其中却有一些值得注意的问题。比如: 1. B网站向A服务器发送请求,是否导致跨域问题? 不
跨站请求伪造(CSRF攻击原理及预防手段
最新发布
m0_47905795的博客
06-02 5535
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
Web安全跨站请求伪造攻击CSRF
weixin_44431280的博客
02-04 734
CSRF(Cross-site request forgery)跨站请求伪造 提要:CSRF(Cross-site request forgery)跨站请求伪造属于客户端攻击,一句话可以总结为:攻击者盗用了用户的身份信息,以用户的名义发送恶意请求,对服务器来说这个请求是用户发起的,但却完成了攻击者所期望的一个操作。 原理讲解: 第一步:用户通过浏览器登陆访问目标网站A,网站A返回给浏览器用户的认证信息(cookie或sessionid),此时对于网站A,用户的请求都是合法的 第二步:在网站A不退出,浏览
Django CSRF跨站请求伪造防护过程解析
01-01
前言 CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就保存网站A的cookies。 2、用户在访问恶意网站B, 网站B上有某个隐藏的链接自动请求网站A的链接地址,例如表单提交,传指定的参数。 3、恶意网站B的自动化请求,执行就是在用户A的同一个浏览器上,因此在访问网站A的时候,浏览器自动带上网站A的cookies。 4、所以网站A在接收到请求之后,可判断当前用户登录状态,所以根据
web安全超实用超文档
01-06
下面,我们将详细探讨标签中提及的两种主要安全威胁——跨站脚本攻击(XSS)和跨站请求伪造(CSRF),以及相关的防范措施。 首先,让我们来了解一下XSS(Cross-Site Scripting)。这是一种常见的Web应用安全漏洞,...
WEB安全渗透课程ppt
01-04
WEB安全渗透课程】是针对网络安全领域中的一个重要分支——Web应用程序的安全性进行深入探讨的教程。这门课程基于"CISP-PT"(Certified Information Security Professional - Penetration Testing)认证教材,旨在...
WEB渗透——新手入门之初级工具利用
01-16
WEB渗透,也称为Web应用渗透测试,是评估Web应用程序安全性的过程,通过模拟恶意攻击者的行为来查找并利用潜在漏洞。对于新手来说,了解基础工具和技术是入门的关键。 1. **信息收集**:首先,渗透测试通常从信息...
Web应用安全:Cookie参数越权.pptx
06-18
对敏感操作进行二次验证,如使用CSRF令牌,防止恶意的CSRF攻击;以及定期审计代码,修复潜在的XSS漏洞。 总之,理解Cookie参数越权的概念及其攻击方式对于保障Web应用的安全至关重要。开发人员和网络安全专业人员...
Web应用安全:XSS盗取cookiepayload.pptx
06-18
5. **SameSite属性**:设置Cookie的SameSite属性,限制跨域请求发送Cookie,防止CSRF攻击。 总之,理解XSS攻击和Cookie盗取的原理,并采取有效的防护措施,对于保护Web应用的安全至关重要。开发者和用户都需要对此...
网站漏洞修复之CSRF跨站攻击
网站安全专家
06-09 1111
 CSRF通俗来讲就是跨站伪造请求攻击,英文Cross-Site Request Forgery,在近几年的网站安全威胁排列中排前三,跨站攻击利用的是网站的用户在登陆的状态下,在用户不知不觉的情况下执行恶意代码以及执行网站的权限操作,CSRF窃取不了用户的数据,只能执行用户能操作的一些数据。比如:在用户不知道的情况下, 把账户里的金额,以及银行卡号,体现功能,都转移到其他人账户里去。如果被攻击者是...
CSRF跨站请求伪造)攻击和预防
allway2的博客
09-05 734
但是,如果您遵循上述注意 HTTP 动词的规则,这对于 CSRF 保护来说不是必需的。幸运的是,只要您使用支持 CSRF 令牌并明确 HTTP 动词的体面、现代的应用程序平台,它们也很容易避免。当使用 cookie 进行话管理的 Web 应用程序无法验证 HTTP POST 请求的来源时,通常出现 CSRF跨站点请求伪造)漏洞。防止这些攻击的常用方法是使用称为 CSRF 令牌的东西。您应该将令牌绑定到预身份验证话(当用户进行身份验证并为用户提供新的话 ID 时,您应该将其丢弃,但这是另一回事)。
【前端安全】一、CSRF攻击和XSS攻击
weixin_39307273的博客
03-06 1474
1、CSRF CSRF,全称Cross-site request forgery(跨站请求伪造),其原理是利用用户的身份,执行非用户本身意愿的操作(隐式身份验证机制)。 形式:图片URL、超链接、Form提交等,也可以嵌入到第三方论坛、文章中等地方。 危害:攻击者可以盗用用户的身份,以用户的名义进行恶意操作,包括但不限于以用户的名义发送邮件、资金转账、网上等危害用户的操作 原理: ...
web基础漏洞之CSRF跨站请求伪造漏洞)
m0_62274649的博客
10-04 1274
一些自己的小总结,有待完善
前端安全CSRF攻击
yleave的博客
07-03 872
个人博客 文章目录几种常见的 CSRF 攻击:1. GET 类型的 CSRF 攻击2. POST 类型的 CSRF 攻击3. 链接类型的 CSRFCSRF 特点防护策略同源检测几种 Referer 策略CSRF TokenCookie 的 SameSite 属性REF CSRF(Cross-site Request Forgery),跨站请求伪造攻击,简单来说就是攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送请求,并利用受害者在被攻击网站中获取的用户凭证,达到冒充受害者的目的,并使用受害
安全系列之CSRF」如何防范csrf攻击
qq_35789269的博客
04-07 3990
背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。 前端安全 近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大
跨站请求伪造学习笔记
0xdawn的博客
01-30 395
0x00 前言 跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 0x0...
如何防止CSRF攻击
半夏_2021的博客
05-04 865
如何防止CSRF攻击
提升Web安全CSRF漏洞详解与防护策略
标题:“Web安全整改建议”重点关注了网页应用程序中常见的安全漏洞之一——跨站请求伪造(CSRF)。CSRF是一种威胁,攻击者利用用户的已登录话,冒充用户执行未经授权的操作,可能导致隐私泄露和财产损失。为了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值