csrf攻击

最新推荐文章于 2024-09-09 11:11:31 发布
最新推荐文章于 2024-09-09 11:11:31 发布
阅读量292 收藏
点赞数
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ych_cxy/article/details/103347399
版权

跨站请求伪造攻击(CSRF)

跨站请求伪造(CSRF,Cross-site request forgery)是另一种常见的攻击。攻击者通过各种方法伪造一个请求,模仿用户提交表单的行为,从而达到修改用户的数据或执行特定任务的目的。
通常情况下CSRF攻击都配合XSS来实现用户身份的模仿。

解决思路

1、增加攻击的难度。GET请求是很容易创建的,用户点击一个链接就可以发起GET类型的请求,而POST请求相对比较难,攻击者往往需要借助JavaScript才能实现;因此,确保form表单或者服务端接口只接受POST类型的提交请求,可以增加系统的安全性。

2、对请求进行认证,确保该请求确实是用户本人填写表单或者发起请求并提交的,而不是第三者伪造的。
正常情况下一个用户提交表单的步骤如下:

1)、用户点击链接(1) -> 网站显示表单(2) -> 用户填写信息并提交(3) -> 网站接受用户的数据并保存(4)
而一个CSRF攻击则不会走这条路线,而是直接伪造第2步用户提交信息

2)、直接跳到第2步(1) -> 伪造要修改的信息并提交(2) -> 网站接受攻击者修改参数数据并保存(3)
只要能够区分这两种情况,就能够预防CSRF攻击。那么如何区分呢? 就是对第2步所提交的信息进行验证,确保数据源自第一步的表单。具体的验证过程如下:

3)、用户点击链接(1) -> 网站显示表单,表单中包含特殊的token同时把token保存在session中(2) -> 用户填写信息并提交,同时发回token信息到服务端(3) -> 网站比对用户发回的token和session中的token,应该一致,则接受数据,并保存

这样,如果攻击者伪造要修改的信息并提交,是没办法直接访问到session的,所以也没办法拿到实际的token值;请求发送到服务端,服务端进行token校验的时候,发现不一致,则直接拒绝此次请求。

详细请看添加链接描述

于丸
关注
专栏目录
CSRF攻击(跨站请求伪造)
糖小喵
04-22 337
csrf:csrf说白了就是盗用用户的身份. 防御: A:验证 HTTP Referer 字段; 在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。 这种方法的显而易见的好处就是简单易行,网站的普通开发人员不需要操心 CSRF 的漏洞,只需要在最后给所有安全敏感的请求统一增加一个拦截器来检查 Referer 的值就可以。每个浏览器对于 Referer...
CSRF 攻击
无知小九的博客
08-10 1821
这种方法解决了使用 cookie 单一验证方式时,可能会被冒用的问题,但是这种方法存在一个缺点就是,我们需要给网站中的所有请求都添加上这个 token,操作比较繁琐。第三种方式使用双重 Cookie 验证的办法,服务器在用户访问网站页面时,向请求域名注入一个Cookie,内容为随机字符串,然后当用户再次向服务器发送请求的时候,从 cookie 中取出这个字符串,添加到 URL 参数中,然后服务器通过对 cookie 中的数据和参数中的数据进行比较,来进行验证。同时这种方式不能做到子域名的隔离。...
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
xiangxue888的博客
09-09 1336
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
CSRF攻击
我欲乘风破浪
05-24 541
目录 什么是CSRF攻击 自动发起GET请求 自动发起POST请求 引诱用户点击链接 与XSS区别 防范CSRF攻击 Cookie的SameSite属性 验证请求的来源站点 CSRF Token 什么是CSRF攻击 CSRF:Cross-site request forgery,“跨站请求伪造”,黑客引诱用户打开黑客的网站,在黑客的网站用,利用用户的登录状态发起的跨站请求。简单来讲,CSRF攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 自动发起GET请求 .
跨站请求伪造-CSRF防护方法
hjjhce的博客
08-18 803
跨站请求伪造-CSRF防护方法                               CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 1 CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中We
CSRF攻击
m_ing
06-20 270
前言:前几天我们一起学习了XSS攻击,今天学习的CSRF与XSS有点相似,但事实上完全不是一回事到后期可能有一些结合的点。希望大家认证学习, 加以区分 CSRF 中文是跨站点请求伪造,CSRF攻击者用户已经登录目标网站之后,诱导用户访问一个攻击页面利用目标网站对用户的信任。以你的身份在攻击页面对目标网站发起伪造用户操作的请求,比如以你的名义发送邮件、发消息、盗取你的账号等等 CSRF与XSS最大的区别就在于,CSRF并没有盗取你的cookie而是直接利用 攻击场景: web a 为存在漏洞的网站,we
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
Flask模拟实现CSRF攻击方法
09-20
# Flask 模拟实现 CSRF 攻击方法详解 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使...
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
Python Django框架防御CSRF攻击方法分析
09-18
下面我们将深入探讨Django如何防御CSRF攻击,以及如何配置和使用这些防御策略。 首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单...
2021-03-31
m0_55876880的博客
03-31 235
什么是 CSRF 攻击?如何防范 CSRF 攻击CSRF 攻击指的是跨站请求伪造攻击攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被 攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态,绕过后台的用户验证,冒充用户向服务器执行一些操作。 CSRF 攻击的本质是利用了 cookie 会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充。 一般的 CSRF 攻击类型有三种: 第一种是 GET 类型的 CSRF 攻击,比如在网站中的一个 img 标签里构建一个
MVC Html.AntiForgeryToken() 防止CSRF攻击
热门推荐
cpytiger的专栏
04-10 4万+
(一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是
防范CSRF攻击:策略与实战
"本文主要探讨了CSRF攻击的原理、危害以及应对策略,旨在提高对这种网络攻击形式的认识,并提供有效的防御措施。作者们通过实例解释了CSRF攻击的工作方式,强调了其在未被授权的情况下执行敏感操作的潜在危害,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值