学学CSRF攻击的原理与防范

最新推荐文章于 2024-05-12 14:23:18 发布
最新推荐文章于 2024-05-12 14:23:18 发布
阅读量350 收藏 5
点赞数 4
文章标签: csrf 前端 ubuntu 数据库 linux web安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wufjsjjx/article/details/137601484
版权

什么是CSRF 跨站点请求伪造

攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

攻击步骤:

1.浏览登陆网站A 2.网站A用户验证通过,在用户客户端产生cookie 3.用户在没有登出A网站的情况下,访问到了危险网站B 4.网站B对网站A发送恶意请求 5.浏览器带着恶意请求之前保存的cookie访问网站A 6.因为带着cookie,网站A以为是用户在操作,处理了网站B的恶意请求。从而达到了模拟用户操作的目的。

常见的CSRF攻击类型

1.get类型的CSRF 只需要一个http请求 在受害者访问含有这个img的页面后,浏览器会自动向bank.example/withdraw?ac… 2.Post类型的CSRF 这种类型的CSRF利用起来通常使用的是一个自动提交的表单,如:

xml
复制代码
 <form action="http://bank.example/withdraw" method=POST><input type="hidden" name="account" value="xiaoming" />`<input type="hidden" name="amount" value="10000" /><input type="hidden" name="for" value="hacker" /></form><script> document.forms[0].submit(); </script>

3.链接类型的CSRF 链接类型的CSRF并不常见,比起其他两种用户打开页面就中招的情况,这种需要用户点击链接才会触发。这种类型通常是在论坛中发布的图片中嵌入恶意链接,或者以广告的形式诱导用户中招,攻击者通常会以比较夸张的词语诱骗用户点击

CSRF的特点

1.攻击发起方为第三方网站,而不是被攻击的网站。 2.攻击者利用用户的登陆凭证,冒充用户进行操作,而不是窃取数据 3.跨站请求可以有很多方式,如图片,表单,超链接

CSRF和Xss的区别

XSS是代码注入问题,Csrf是HTTP问题 XSS是没有进行输入过滤导致将攻击者的输入当代码执行 CSRF是因为浏览器发送请求的时候自动带上了Cookie

如何防御

1.验证码:完成验证码操作才能处理请求 2.token:token 验证的 CSRF 防御机制是公认最合适的方案

​最后

为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~

😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

因篇幅有限,仅展示部分资料

2️⃣视频配套资料&国内外网安书籍、文档

① 文档和书籍资料

② 黑客技术

因篇幅有限,仅展示部分资料

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈

3️⃣网络安全源码合集+工具包

4️⃣网络安全面试题

5️⃣汇总

所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》,扫码获取~

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈

瓦罗兰特顶级C位
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全资料汇总!
weixin_46159811的博客
01-07 3684
1.网络安全资料汇总 web security: 《http权威指南》【图灵出品】   深入理解web http/https协议 ,了解超文本传输协议是如何进行传输和编译的。 《javascript权威指南》   淘宝前端团队翻译,深入了解前端js变量,注释,函数,表达式等,学习xss必备书籍。还提及了jquery类库。 《xs...
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
码农翻身讲网络5:Web安全攻防战与HTTPS
Java技术江湖
01-27 2642
浏览器:一个家族的奋斗 原创: 刘欣码农翻身2017-12-12 我是你们每天都要使用的浏览器,自从90年代诞生以来,我们这个大家族变得非常的繁荣,在过去的几十年中,我们一直兢兢业业地帮助你们人类去探索外部的互联网世界。随着互联网和移动互联网的发展,我们家族终于登上了成功的巅峰:几乎占据了全球每一台电脑和手机。 大家只看到表面的光鲜,可是谁知道我们家族在背后充满血和泪的不懈努力呢...
腾讯CSIG前端面经全网最全总结
Abigail路小雨的博客
12-18 3286
之前秋招面试腾讯云,一个多月的时间整理了全网的面经 希望可以帮助到面试CSIG的同学
web前端常见的面试题汇总(一)
Amelian的博客
12-24 2426
1. 什么是事件?IE和火狐的事件机制有什么区别?如何阻止事件冒泡 1.1 事件 事件是用户操作网页时发生的交互动作。如click/move等。事件即可以由用户触发的动作产生,也可以是文档加载,窗口滚动和大小调整。 事件被封装到一个event对象中,event对象中包含了该事件发生时的所有信息(event的属性),以及可以对该事件进行操作(event的方法) 1.2 事件机制 1)IE:IE浏览器支持冒泡事件 2)火狐:狐火浏览器支持冒泡事件和捕获事件 1.3 如何阻止冒泡事件 1)在IE浏览器中使用:
网络安全学习资料总汇
安全学习之路
03-03 1万+
1、Web security  1. 《http权威指南》【图灵出品】:  深入理解web http/https协议 ,了解超文本传输协议是如何进行传输和编译的。 2. 《javascript权威指南》:淘宝前端团队翻译,深入了解前端js变量,注释,函数,表达式等,学习xss必备书籍。还提及了jquery类库。 3. 《xss跨站脚本攻击与防御》: 学习xss基础必备。也是目
记第一次面试经历
七和
01-05 1060
  在大三上学期偶然看到院系群中字节跳动武汉分部在招聘实习生,本菜鸟便有了“万一呢”的尝试念头。毕竟学了几个月的java web框架用了一些,还做了个小网站:www.qihea.xyz   初试花了一下午:       用了两个多小时讲字节跳动有多NB(看来招聘会也是宣讲会啊
记录一位社招面试腾讯成功拿到offer的面试内容及收集的答案(上)
gaoqiang1112的博客
12-03 4029
// 以下记录 是为了 以后如果有机会面试大厂 起码了解一些 作为合格前端应该掌握的知识点 勉励自己 // 对了 还有平时 对用到的专有名词及缩写 请查清全称及读音 否则面试的时候 真的画面太有喜感了 不敢想了 //记录一位社招面试腾讯成功拿到offer的面试内容及收集的答案(下)https://blog.csdn.net/gaoqiang1112/article/deta...
2017网络安全方向学习总览(转载供本人查阅而已)
热门推荐
一个冠军黑猿的自觉
01-21 1万+
(当然首先力推:vidar wiki) 以及简哥上的大佬们:
CSRF攻击与防御
02-26
这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
PHP开发中csrf攻击的简单演示和防范
10-19
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对...
前端安全防护实战:XSS、CSRF防御与同源策略详解(react 案例)
qq_35374791的博客
05-03 1124
前端安全防护实战中,主要涉及三个方面:XSS (Cross-Site Scripting) 攻击的防御、CSRF (Cross-Site Request Forgery) 攻击的防御,以及浏览器的同源策略
可视化大屏比例
梦寻汝的博客
05-08 160
【代码】可视化大屏比例。
TypeScript 类型系统深度解析:类型全览
逐星的博客
05-09 1117
TypeScript 提供了丰富的类型系统,允许开发者以静态方式定义和使用数据类型。这不仅提升了代码的安全性,还增强了代码的可读性和可维护性。
picoCTF-Web Exploitation-Web Gauntlet
最新发布
huckers的博客
05-12 374
按照提示,需要用admin登录,查看filter.php,这应该是一个SQL注入题,提示我们可以使用无痕浏览器来以便cookie可以不用每次清除。中展示了sql过滤逻辑,可以回味一下,尝试用不同的关键字来注入。提示sql过滤or,我们使用。
rbac权限和多级请假设计的流程演示和前端页面实现
m0_54597180的博客
05-09 299
多级请假:7级及以下申请请假需要部门经理审核,若是请假时长超过72小时,则需要总经理审核,7级申请请将需要总经理审核,总经理请假自动审核通过。业务流程测试:王美美[高级研发工程师](7级以下用户)登录并申请请假(超过了72小时需要部门经理和总经理申请)部门经理审核通过,需要总经理审核(8级)登录,首页消息通知审核通过。如果部门经理审核不通过,则总经理不需要处理也没有系统通知。王美美请假(查过72小时),需要部门经理和总经理审核。部门经理(7级)登录消息通知审核消息并处理审核。王美美查看部门经理审核结果。
根据地址栏url上key获取值
wwf1225的博客
05-10 180
/ 根据url上key获取值,key为参数名字,例如token。
Android WebViewJavascriptBridge JS层调用Native层流程解释
zhanghao_Hulk的专栏
05-11 281
在android开发中,存在Android的原生Native层与JS网页混合开发的需求,此时可以使用WebViewJavascriptBridge框架进行桥接,实现JS与Native层相互通信。 下面对WebViewJavascriptBridge框架的实现流程做简单解释:
CSRF攻击原理与解决方法
07-24
CSRF(Cross-Site Request Forgery)攻击是一种常见的网络安全漏洞,它利用了网站对用户请求的信任,通过伪造用户的请求来执行恶意操作。 攻击原理: 1. 用户登录受信任的网站A,并在本地生成了相应的会话Cookie。 2. 攻击者诱使用户访问恶意网站B,该网站中包含了针对网站A的恶意请求。 3. 网站B的恶意请求会自动触发用户浏览器发送一个针对网站A的请求,由于用户在访问网站A时已经登录,并且浏览器会自动携带相应的会话Cookie。 4. 网站A接收到请求后,会认为是用户自己的合法请求,然后执行相应的操作,比如修改密码、发起转账等。 解决方法: 1. 验证码(CAPTCHA):引入验证码可以阻止CSRF攻击,因为攻击者无法获取到验证码的内容,无法伪造合法请求。 2. 同源检测:在服务器端对请求进行来源验证,只允许来自同一域名下的请求通过。可以通过检查Referer字段或者使用CSRF Token来实现。 3. CSRF Token:在每个表单或者请求中引入一个随机生成的Token,并在服务器端校验,如果请求中没有正确的Token,则拒绝执行操作。 4. 阻止第三方网站请求:可以通过设置HTTP头部的SameSite属性为Strict或者Lax来限制第三方网站对Cookie的访问。 5. 双重Cookie验证:除了验证会话Cookie,还可以在请求中包含一个随机生成的Token,并在服务器端进行验证。 以上是一些常见的CSRF攻击的解决方法,但并不是绝对安全的,开发者在设计和开发过程中还需要综合考虑其他安全措施来确保网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值