再谈csrf攻击

最新推荐文章于 2022-11-23 19:34:28 发布
最新推荐文章于 2022-11-23 19:34:28 发布
阅读量525 收藏
点赞数
分类专栏: 信息安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/THEANARKH/article/details/52246015
版权

csrf攻击主要是恶意者利用用户的登录态,诱使用户点击链接,使用户发送了非自愿的请求。

主要防御手段:1.使恶意者无法构造完整的url,因为攻击者需要在自己的恶意网站里嵌入某个url,然后让用户点击,才能发送攻击,所以通过在url里插入一些随机数,使得恶意者无法猜中完整的url,例外一种方式是通过input hidden来实现。用户每次提交的时候带上input里的值,而恶意者的网站是很难猜到这个值的。

2使用referer头,这个限制性比较大,主要原理是通过判断用户发送的请求是从哪个网页操作的,从而判断该请求的合法性。

另外,随机数csrfcode放在cookie是不可以的,如果把这个随机数放到cookie,那么用户点击恶意者网站的url时是会把这个csrfcode带上的,所以就会失去了作用。


最后提一下csdn网站的问题,当我们访问csdn的某个页面时,csdn好像并没有判断登录态,比如我登录自己的账号,然后打开我的一个博客,然后打开一个新的页面点击退出再登录新的账号,甚至在原网页点击退出,页面刷新后,显示的内容还是我刚才打开的那个页面,我觉得这时候,我是不能再访问这个页面的了,毕竟我的登录态已经失效。总之csdn上,如果我现在一个页面上登录,打开我的博客,然后再新开一个页面,点击退出再登录其他的账号,那么刷新原来页面的时候发现账号是新的账号,但是内容却是原来账号的内容,甚至更神奇的是我在后来登录的账号里写的博客,居然会保存在前面登录的账号里。



还有一个问题是csdn网站似乎存在一个csrf漏洞。。。。。。已邮件告诉csdn管理员,等待回复。。。

theanarkh
关注
专栏目录
CSRF(跨站请求伪造攻击)
bai_L的博客
05-25 269
CSRF的几种攻击方式:  1.HTML CSRF:通过HTML发送GET请求  2.JSON HiJacking:构造自定义的回调函数  3.Flash CSRF:通过Flash来实现跨域请求 CSRF攻击跨站请求伪造。 本质:重要操作的所有参数都是可以被攻击者猜测到的。攻击者预测出URL的所有参数与参数值,才能成功地构造一个伪造的请求。 csrf攻击:  1.诱使用户点击恶意链接,致使数据删除  2. 获取登陆者的cookie, 通过用户点击链接请求获取(只针对于火狐浏览器)cookie分为两种:一种是
WEB安全-CSRF攻击原理
LJH1999ZN的博客
02-18 623
一、什么是CSRF漏洞的 跨站请求伪造(Cross-site request forgery),通常简称为CSRF或者XSRF。是一种通过借用用户的权限在网站上执行并非自己本意的操作。 二、CSRF漏洞具体可以干什么 以你的名义(发邮件;发消息;修改密码;转账;购买商品等) 三、CSRF成立的必要条件 1.受害者没有退出当前页面,也就是说cookie值没有过期。 2.受害者点击了攻击者所发送的恶意连接。 四、CSRF漏洞的原理 首先当用户登录并浏览一个可信网站时,攻击者发送一个恶意链接,用户
网络安全学习笔记——CSRF攻击
最新发布
just do it
11-23 1258
CSRF 攻击多数情况下发起于第三方网站,少数发起于本站,如评论区等;且攻击对象必须是登陆状态;个人信息不会被窃取,而是冒用;CSRF 攻击手段多样化,可通过 URL,CORS 等发起攻击
CSRF攻击
Kaleido76的博客
01-29 235
关于CSRF攻击的一些整理与总结。
浅谈CSRF攻击方式
10-18
你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及...
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
CSRF攻击利用了网站对于用户浏览器的信任,诱使用户在已认证的状态下向受信任网站发送非预期的请求。攻击者可以利用这种漏洞执行用户的敏感操作,例如转账、更改密码等。 一、CSRF攻击原理 CSRF攻击通常包括三个...
前端安全之XSS和CSRF攻击
公众号:前端充电宝
08-02 672
目录1. 什么是XSS ?1.1 概念1.2 攻击方式1.3 危害1.4 分类2. 如何防御XSS?2.1 设置HttpOnly2.2 输入检查2.3 输出检查3. 什么是CSRF ?3.1 概念3.2 攻击方式4. 如何防御CSRF?4.1 验证码4.2 验证Referer4.3 cookie设置sameSite4.4 添加token验证 1. 什么是XSS ? 1.1 概念 XSS,即 Cross Site Script,是指跨站脚本攻击,原本缩应该为CSS,但是为了和层叠样式表(Cascading
CSRF操作于Auth认证模块(Auth_user表切换|中间件设计项目功能)
主要发布一些日常学习代码及理解
09-13 754
详细介绍了CSRF跨站请求伪造|CSRF解决伪造|CSRF相关装饰器|Auth-user表操作认证|Auth-user表切换|中间件拔插式设计
CSRF】学习关于CSRF攻击和防范
NineWaited的博客
03-13 1706
关于CSRF攻击的相关信息,包括如何怎么发生,发生场景和如何防范
csrf
Waller_的博客
02-10 296
可以理解为 csrf 随机生成了一个字符串,放到前端,当前端是post请求的时候,会在先在 'django.middleware.csrf.CsrfViewMiddleware' 中间件内校验该字符串,若不一致,直接拒绝(403) 该随机字符串有两个特点: 1.同一个浏览器每一次访问都不一样 2.不同浏览器绝对不会重复 form表单中如何跨站请求伪造 <form action="...
常见六大Web安全攻防解析
weixin_34352449的博客
01-31 1388
前言 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。 想阅读更多优质原创文章请猛戳GitHub博客 一、XSS XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏...
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1788
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
前端安全:XSS和CSRF
yangyang的专栏
07-09 1142
1.概念 XSS:Cross Site Script,中译是跨站脚本攻击 CSRF:Cross-site request forgery,中文为跨站请求伪造 XSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。 CSRF是一种劫持受信任用户向服务器发送非预期请求的攻击方式。通常情况下,C...
安全测试之跨站请求伪造(CSRF)攻击
小太阳~
01-28 7004
一、CSRF攻击的概念CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,对用户的安全及网站的安全具有很大的危害性。一、CSRF攻击的原理如下图所示,CSRF攻击的原理比较容易理解,其中Web A是存在CSRF漏洞的网站,Web B是
CSRF原理及解决方案
weixin_44422272的博客
08-08 648
概念CSRF即Cross Site Request Forgy,跨站请求伪造。 原理 用户浏览并登陆(存在CSRF漏洞的)信任网站A 网站A验证通过,给用户返回一个cookie 用户在未登出的情况下(cookie未过期)登陆了恶意网站B 网站B带上网站A的身份(cookie)对网站A发起请求(修改你的密码,购物,转账,偷窥你的个人信息等) A并不知道请求是B发送的,会处理该恶意请求。 防御CSRF的策略 详情查看 验证 HTTP Referer 字段 在请求地址中添加 token 并验证 在 HTTP
CSRF攻击原理
178技术
04-16 1258
CSRF( Cross-Site Request Forgery )为跨站请求伪造,它是一种针对Web应用程序的攻击方式,攻击者利用CSRF漏洞伪装成受信任用户的请求访问受攻击的网站。在CSRF攻击中,当用户访问一个信任网站时,在没有退出会话的情况下,攻击者诱使用户点击恶意网站,恶意网站会返回攻击代码,同时要求访问信任网站,这样用户就在不知情的情况下将恶意网站的代码发送到了信任网站,其过程如下图所示。 CSRF攻击过程与XSS攻击过程类似,不同之处在于,XSS是盗取用户信息伪装成用户执行恶意活动,而
CSRF攻击详解与防御策略
CSRF全称为跨站请求伪造(Cross-Site Request Forgery),这是一种网络攻击手段,攻击者利用受害者的已登录状态,伪造受害者的身份,执行未经授权的操作,通常在用户不知情的情况下进行。CSRF的原理主要基于HTTP协议中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值