CSRF 攻击简记

最新推荐文章于 2023-09-26 11:07:18 发布
最新推荐文章于 2023-09-26 11:07:18 发布
阅读量385 收藏
点赞数
分类专栏: 犯傻类型 laravel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YQXLLWY/article/details/73801672
版权

简记

就是简单介绍一下原理,具体怎么实施,要是我很懂,那估计要很久很久之后了。。。。。。。

参考文章

看下面这个例子,假设某网站B,该网站的URL是:

http://www.hello.com

中有一段代码是这样处理的:

if($_GET['id'] && session('id')){
    //将该id下的所有用户信息打印出来
}

这里你直接去访问该部分代码肯定会报错的,因为肯定要你注册、登录成功后才会在别的地方设置session('id')的,所以网站的搭建者以为这样就可以保证该用户只能访问到自己的个人信息了。

接下来,假设你在登录网站B的情况下,正在访问网站A:

http://www.lucifer.mornig.star.com.cn

这时,里面有一个按钮:送你下地狱,于是你手贱点了一下,却没有想到这个按钮的代码如下:

$url="http://www.hello.com";
var end=10000;
//不确定该用户在另一家网站的id号,所以多尝试几次
for(var index=1;index<end;inde++){
    var id=index;
    $.get($url,{id:id},function(response){
        //这里假设如果错误则返回错误码1001,正确则返回1002与用户的个人信息,这个很号获取的,直接去那个网站体验一下就可以了
        if(response.code!=1001){
            //这里就能获取用户的个人信息了
        }
    });

这里为什么要用户来触发呢?(不一定要用户触发,可以设置$(document).ready()来直接触发,但是起始人一定要是你)因为这里是在以当前用户的身份去访问网站B,则网站B自然会按照当前用户的身份去运行他所拥有的权限。

这里你可能会觉得在浏览网站B的时候同时浏览网站A的可能性不大,那么换个角度,如果你在网站B的缓存没有失效,那么在你关闭网站B的情况下,发送上述请求给网站B,是不是也是有效的呢?肯定的啊。所以这就是CSRF攻击。

Laravel防御

前面说过Laravle CSRF防御的内容,但是那时候不知道什么是CSRF攻击,所以特意百度了一下。Laravel采用的方式就是加入验证令牌,也就是表单中的隐藏项,使用该项来判断这个请求是不是自己发出的,如果不是就直接拒绝处理该请求。

trouble-i-am-in
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring mvc中实现csrf安全防御简记
nizen的专栏
08-06 1万+
1.csrf是什么 csrf全称是Cross-site request forgery,http://en.wikipedia.org/wiki/Csrf 危害:使受害用户在不经意间执行了不是用户意愿的请求。最终导致泄密和执行了其他高危害操作。 2.一般防御做法 防御基本原理:本质上是做好用户数据提交的完整性,保证用户提交的内容是用户发起的非篡改过的请求。 通常做法是,在用户在访问页面的
wordpress 4.7.2 php,WordPress 4.7.2 漏洞复现简记
weixin_30910893的博客
04-01 458
[01] WordPress Tool "Press This" CSRF DoS一个典型的CSRF,WP采用了form-get型修复方案。功能点即先将PressThis的链接存入浏览器书签,然后在看到感兴趣的其他web页面时,直接点击这个书签,就可以在WP的编辑器中引用这个页面。该功能在Scan模式下还会爬取网页中的资源(如图片等)并置入编辑器界面供作者使用。漏洞与利用这个Scan操作并未做CS...
CSRF 简记
chihualuan0951的博客
02-26 76
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,...
简记跨站请求伪造攻击防范
孔令宽的专栏
12-27 147
1 CSRF简单描述 用户在已经登录了我们自己的网站后,又被钓鱼点击了包含对本站有跨站请求伪造意图的网站,该网站返回的页面中包含对我们网站的恶意表单提交请求,由于用户在我们网站已经是登录状态,恶意表单提交的时候会带上我们的cookie,如果我们的后端不做防范的话,该恶意表达提交会被我们的服务误认为是正常的表单提交,进而导致危险的后果。 2 CSRF能成功的本质原因 本质原因是 # 对任何指...
Spring Security 简记
charlong的博客
11-26 134
仅供自己所需,绝大多数参考https://blog.csdn.net/larger5/article/details/81063438 部分参考https://blog.csdn.net/ech13an/article/details/80779973 我这个是没用自带的登录方法,因此登录成功的操作是在我自己写的接口里的,如果使用了框架带的,就是在注释为:登录成功的地方设置操作 package com.example.entry.security.config; import org.s...
web安全问题简记
小冷_Blog
04-19 258
最初,让我写这个,我是拒绝的,后来,面试被问到,炸了,虽曾看过,却不曾记之,俗语有言:好记性不如烂笔头,这波,GG。 虽然,我写了这篇博客,但是,你要想多了解点内容,还是去看别人的稳,文章里放的链接都是我整个看完觉得不错的,大家有兴趣直接移步,妥! web常见的安全问题: 1. XSS (cross site scripting 跨站脚本攻击) XSS用最简单的话介绍就是通过在输入...
Django简记(四)
SimpleZihao的博客
07-22 251
注:内容部分来源于拉钩教育张涛老师课件,在此表示感谢 注意,运行manage.py等相关命令时首先要保证在manage.py所在目录 配置静态文件 static用于存放css、图片、js等静态文件 在项目根目录下创建static文件夹 在settings.py文件中配置static文件夹位置 STATIC_URL = '/static/' STATICFILES_DIRS = [ os.path.join(BASE_DIR, 'static'), ] 新版Django模板加载sta
本次CTF·泰山杯网络安全的基础知识部分
最新发布
祈尘的博客
09-26 909
最近参加的网络安全大赛的CTF基础知识部分,还会继续补充
2022年前端面试必须学会的知识点-网络与浏览器篇(持续更新中...)
蜗牛的博客
01-13 312
一,部分请求中使用encodeURL转码? URL只能用数字,英文和某些标点符号,不能用其他,需要 encodeURI:整个URL编码 encodeURIComponent:对URL组成部分进行编码 二,HTTP与HTTPS? HTTP明文 HTTP1:tcp连接数限制,线头阻塞 HTTP2:二进制,单连接上多请求,响应并行 HTTPS:更安全,加密解密,数字证书, 三,强缓存和协商缓存? 浏览器缓存分为强缓...
Flask模拟实现CSRF攻击的方法
09-20
# Flask 模拟实现 CSRF 攻击方法详解 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使...
CSRF攻击与防御
02-26
这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring Security 防 Csrf 攻击实现代码解析 Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证...
CSRF攻击的应对之道
01-30
CSRF(Cross ...然而,该攻击方式并不为大家所熟知,很多网站都有CSRF的安全漏洞。本文首先介绍 CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如
Python Django框架防御CSRF攻击的方法分析
09-18
下面我们将深入探讨Django如何防御CSRF攻击,以及如何配置和使用这些防御策略。 首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单...
Laravel 5.4 设置全局变量
TROUBLE I AM IN
07-21 7698
Laravel 5.4 设置全局变量参数。
Laravel的JsonResponse函数返回后前台处理代码
TROUBLE I AM IN
08-21 7087
Laravel使用JsonResponse函数返回Ajax请求后前台的js代码
laravel前端内容编译:小白的惨痛经历
TROUBLE I AM IN
06-22 5021
开启新的laravel旅程。
laravel资源加载路径设置
TROUBLE I AM IN
06-22 3936
记述一个laravel资源调用的小问题。
CSRF 攻击 攻击原理
06-11
CSRF攻击的工作原理是攻击者构造一个恶意请求,然后诱导用户访问带有恶意请求的页面。当用户访问该页面时,浏览器会自动发送请求到Web应用程序,由于请求中包含了用户的合法身份认证信息(如cookie等),Web应用程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值