csrfguard3.1学习笔记

最新推荐文章于 2024-06-10 09:40:05 发布
最新推荐文章于 2024-06-10 09:40:05 发布
阅读量2.6k 收藏
点赞数
分类专栏: java 文章标签: eclipse web应用 信息安全 csrfguard
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YSOLA4/article/details/52919854
版权 
最近公司的机房需要进行二级等保的复评,其中涉及到应用的漏洞扫描一项,使用的是wvs9.0进行web应用漏洞扫描,高危漏洞没有,中级漏洞扫出来不少,虽然二级等保不要求进行修复,但出于信息安全的原则也进行了一次全面的修复,其中涉及到一中Csrf漏洞,也在网上稍微学习了一下,多余的就不说了,我是使用了Owasp.CsrfGuard这个开源项目来对漏洞进行了修复,下面稍微展开说一下.
首先在eclipse中使用git把CsrfGuard项目引入到git repositories库中,跟svn差不多,来:https://github.com/aramrami/OWASP-CSRFGuard.git
![引入后图片](https://img-blog.csdn.net/20161025105343950)
然后eclipse中用maven把项目import进来. Import->Maven->Existing Maven Projects,选择刚才的git库本地路径.建议把csrfguard和csrfguard-test也引进来.
csrfguard-test作为demo项目来进行学习.然后结合
https://www.owasp.org/index.php/CSRFGuard_3_Configuration#Unprotected_Pages
里面提及的配置对自己的项目进行配置.

主要是配置web.xml和Owasp.CsrfGuard.overlay.properties文件
Owasp.CsrfGuard.properties文件可直接复制test项目中来进行使用.
web.xml主要配置csrfguard切入的方式,使用java和js两种方式,官方例子是两种也同时进行.
Owasp.CsrfGuard.overlay.properties文件中主要配置了一些文件路径的排除,比如图片,css,js等静态资源,否则会造成项目访问不正常的现象,还要根据实际进行测试,进一步调整配置文件,
org.owasp.csrfguard.JavascriptServlet.refererPattern = http://localhost:8082.*
非保护列表主要有三种写法,比如文件后缀(正则匹配)
org.owasp.csrfguard.unprotected.Css=*.css
org.owasp.csrfguard.unprotected.Js=*.js
org.owasp.csrfguard.unprotected.Jpg=*.jpg
org.owasp.csrfguard.unprotected.Png=*.png
全路径匹配
org.owasp.csrfguard.unprotected.Default=%servletContext%/
org.owasp.csrfguard.unprotected.Upload=%servletContext%/upload.html
org.owasp.csrfguard.unprotected.JavaScriptServlet=%servletContext%/JavaScriptServlet

路径扩展
org.owasp.csrfguard.unprotected.Web=%servletContext%/web/*

还有一个小地方注意的是,
官方例子项目tag.jsp中,
” value=””/>
和 这两个标签有点小问题,
按照tld文件里的写法,应该是 和
基本看csrfguard-test实例项目就能应用了,深入了解的话,还是需要看官方文档和源码项目.

it夜猫who
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OWASP-CSRFGuard
11-28
OWASP-CSRFGuard-master.zip
CSRF&OWASP CSRFGuard(原创)
Edison Xu
07-25 6520
一. 什么是CSRF?CSRF(Cross-Site Request Forgery)直译的话就是跨站点请求伪造也就是说在用户会话下对某个需要验证的网络应用发送GET/POST请求——而这些请求是未经用户允许并且用户未必愿意做。举例先:用户小a是某论坛的管理员,刚刚用他的用户名、密码登录了该论坛。攻击者现在利用一些手段(例如通过email或聊天窗口发给小a一个链接),但小a点击该链接时,在小a不知
推荐使用:OWASP CSRFGuard - 深度防御CSRF攻击的利器!
最新发布
gitblog_00036的博客
06-10 364
推荐使用:OWASP CSRFGuard - 深度防御CSRF攻击的利器! 项目地址:https://gitcode.com/aramrami/OWASP-CSRFGuard 1、项目介绍 OWASP CSRFGuard 是一个强大的安全库,专门用于防范跨站请求伪造(CSRF)攻击。这个项目由OWASP(开放网络应用安全项目)维护,并提供了一种实现同步令牌模式的变体,以确保Web应用程序的安全性。...
OWASP-CSRFGuard:OWASP CSRFGuard 3.1.0
05-07
重要通知 我们正在开发CSRFGuard的新版本,其中包括大量合并请求,良好建议和新代码,以解决绕过CSRFGuard的XSS攻击的已知问题。 请在下面的官方OWASP CSRFGuard存储库中打开所有请求和问题: 我们需要您的帮助。 如果您想花几个小时来帮助我们,请与我联系。 OWASP CSRFGuard 3.1.0 BSD许可证,保留所有权利。 概述 欢迎来到OWASP CSRFGuard项目的主页! OWASP CSRFGuard是一个库,它实现了同步器令牌模式的一种变体,以减轻跨站请求伪造(CSRF)攻击的风险。 OWASP CSRFGuard库通过使用JavaEE筛选器进行集成,并公开了各种自动和手动方式,可将每个会话或每个请求的伪造令牌集成到HTML中。 当用户与此HTML交互时,CSRF预防令牌(即,密码随机同步器令牌)将与相应的HTTP请求一起提交。 OWASP
OWASP(CsrfGuard)源码解析02----CsrfGuardServletContextListener分析
一直打铁
01-15 437
CsrfGuardServletContextListener分析一、整体框架介绍二、CsrfGuardServletContextListener 分析2.1 contextInitialized 解析三、小结 一、整体框架介绍 首先我们看一下 csrfguard 这个jar 的整体框架 如下图, 里面主要 是分 config 配置, Filter , listener ,action 和 resources 下面的 默认的 csrfguard.properties 和 csrfguard.js 文件
TwinCAT3.1 学习笔记 _V1.07_20170315.pdf
11-05
twincat3是倍福PLC最新开发的编程软件,此文档讲解通俗易懂,是读书的心得体验,对于初学者非常有帮助
Coursera深度学习笔记v3.1
08-24
吴恩达Coursera深度学习教程中文笔记,这些课程专为已有一定基础(基本的编程知识,熟悉Python、对机器学习有基本了解),想要尝试进入人工智能领域的计算机专业人士准备。在这5堂课中,学生将可以学习到深度学习的...
Java学习笔记(四)
01-21
文章目录Java语言基础(二)一、基本数据类型1.1 整数类型1.2 浮点类型1.3 字符类型1.4 布尔类型二、变量与常量2.1 标识符和关键字2.2 声明变量2.3 声明常量2.4 变量的有效范围三、运算符3.1 赋值运算符3.2 算术...
vue-csrf:一个Vue.js插件,用于获取CSRF令牌
05-25
vue-csrf 一个Vue.js插件,用于获取CSRF令牌 安装 yarn add vue-csrf 或者 npm install vue-csrf --save 用法 进口包装 import VueCsrf from 'vue-csrf' ; Vue . use ( VueCsrf ) ; 或带有选项 import VueCsrf from 'vue-csrf' ; Vue . use ( VueCsrf , { selector : 'meta[name="csrf-token"]' , // selector of csrf element with csrf-token value attribute : 'content' , //attribute of csrf-token element } ) ; 然后您可以通过下一个命令获取csrf令牌
OWASP(CsrfGuard)源码解析06----csrfguard.js分析
一直打铁
01-18 485
csrfguard.js分析一、介绍二、csrfguard.js分析三、小结 一、介绍 csrfguard.js 是 需要 在页面请求之后,执行里面的具体逻辑,通过对 ajax 或者 form 表单 进行 处理. ajax 是在 请求的头部 信息里面添加 form 表单是通过对 页面添加一个 hidden 存储对应的Token value. 二、csrfguard.js分析 下面看一下 csrfguard.js 内容 (function() { /** * Code to ensure our e
OWASP(CsrfGuard)源码解析04----CsrfGuardFilter分析
一直打铁
01-15 585
CsrfGuardFilter分析一、介绍二、CsrfGuardFilter 分析三、 CsrfGuard 类分析3.1 isValidRequest 分析3.2 isProtectedPage 分析3.2.1 模糊匹配3.3 isProtectedMethod 分析3.4 verifyAjaxToken、verifyPageToken、verifySessionToken分析四、ILogger 分析4.1 ConsoleLogger4.2 JavaLogger五、InterceptRedirectResp
OWASP(CsrfGuard)源码解析01----整体介绍
一直打铁
01-13 814
OWASP 整体介绍一、介绍二、如何配置三、运作流程四、 小结 一、介绍 OWASP CSRFGuard是一个库,它实现了同步器令牌模式的变体,以降低跨站点请求伪造(CSRF)攻击的风险。 OWASP CSRFGuard库通过使用JavaEE过滤器进行集成,并公开了各种自动和手动方法,以将每个会话或伪每个请求令牌集成到HTML中。 OWASP CSRFGuard 最新的版本 是 3.1.0 ,4.x 的版本也一直没有出来 下图即可说明 OWASP CSRF Guard 的 作用: 更多详细的资料可以见OW
CSRF攻击解决方案--CSRFGuard使用文档
逐鹿人生的博客
06-05 4158
背景:公司项目使用fortyfy测试出CSRF相关的BUG,目前尝试使用CSRFGuard来解决CSRF攻击。 一、CSRF攻击: CSRF是“跨站请求伪造”,其操作方法是借助用户浏览器内的验证过的cookie,在用户点击链接时实现链接跳转,并携带用户的cookie,实现一些用户实际并没有执行的操作。 类似的BUG为:XSS“跨站脚本攻击”,即恶意让用户浏览器执行一些脚本,恶意获取用户coo...
二级等保要求_收藏丨等保2.0时代,数据库安全防护有这一篇就够了
weixin_39744240的博客
12-14 1252
随着等保2.0系列标准的正式发布,等保2.0已成为企事业单位网安建设的重要任务,其中针对数据库系统的安全防护更是重点中的重点。数据库系统作为信息技术的核心和基础,被广泛应用到各个产业领域,数据资产的安全问题也随之而来,如数据被非法访问、篡改和窃取等。等保2.0对数据库系统的安全防护做了全面、详细的要求:首先要在日常运维工作中及时发现数据库系统安全隐患,如漏洞、弱口令、配置不当等问题,及时对其进行修...
CSRFGuard 3 Token Injection
刘书的IT博客
09-19 1410
Overview OWASP CSRFGuard implements a variant of the synchronizer token pattern to mitigate the risk of CSRF attacks. In order to implement this pattern, CSRFGuard must offer the capability to plac
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

it夜猫who

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值