Web 漏洞分析与防御之 CSRF(二)

最新推荐文章于 2024-02-20 09:48:23 发布
最新推荐文章于 2024-02-20 09:48:23 发布
阅读量627 收藏
点赞数
分类专栏: 漏洞安全 文章标签: CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a11121112111a/article/details/79996622
版权
本文深入探讨了CSRF(跨站请求伪造)漏洞,解释了其原理,包括攻击者如何利用用户的cookie进行恶意请求。文章列举了三种攻击方式,并详细介绍了四种防御措施,如设置SameSite属性、使用验证码、token验证和检查referer字段,以防止CSRF攻击。
摘要由CSDN通过智能技术生成

Web 漏洞分析与防御之 CSRF(二)



一、全称

跨站请求伪造(Cross-site Request Forgery)

二、原理

在用户登陆目标网站后,后端会返回用户登陆的凭证到前端(浏览器的 cookie)。攻击者诱使用户点击某个超链接,该超链接会发送恶意请求(会携带用户的 cookie),从而冒充用户完成业务请求(发帖、盗取用户资金等)。

三、攻击方式

笔者以网站的发帖功能为案例对 CSRF 攻击进行简单的讲解。

3.1 提交 form 表单

下图为模拟攻击演示图:

image

以下是演示图中,"CSRF 攻击.html" 文件的源码。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>测试</title>
最低0.47元/天 解锁文章
天下无耗
关注
专栏目录
CSRF漏洞
2ed
06-13 1533
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,...
CSRF漏洞原理与防御方式
dreamthe的博客
09-17 2083
CSRF漏洞原理 CSRF被叫做跨站请求伪造,该怎么理解这句话呢,比如 用户a在浏览器登录了账号,当他发送登录请求时候,服务器验证了账号密码,会返回给一个身份信息存放在cookie里面,浏览器保存,那么以后用户访问服务器带着这个cookie就行了。那么怎么产生攻击的呢,是用户在已经登录的状态下,访问了一个恶意的网站,带浏览器保存的cookie值向服务器发送了恶意请求,服务器会以为是用户的请求,其实这是用户不知情的请求。垮了两个站,一个是用户登录实际网站,一个屙屎攻击者恶意构造网站,所以称作跨站请求伪造。
CSRF错误(lesson45)
bluewater的专栏
11-13 1102
lesson45第9:48min Forbidden(403) CSRF verification failed. Request aborted. Help Reason given for failure: CSRF token missing or incorrect. In general, this can occur when there is a g...
解决:禁止访问 (403) CSRF验证失败
lyw5200的博客
10-27 5600
在测试Django框架POST请求方式时,程序报错如下 在确保访问安全的情况下有一下两种方式: 1、在相应html文件form代码块中添加如下代码: <form method="post" action="/method_show/"> {% csrf_token %} <!-- 改行代码为添加部分 --> <input type="submit" value="post方式"> </form> 但是仅仅添加这句代码,...
CSRF Security Error
06-21 472
java.lang.SecurityException: CSRF Security Error dwrinvoker uk.ltd.getahead.dwr.DWRServlet debug true crossDomainSessionSecurity false allowScriptTagRemoting true
腾讯大牛教你web前后端漏洞分析防御.txt
11-20
### 腾讯大牛教你Web前后端漏洞分析防御 在当今数字化时代,网络安全问题日益突出,尤其是针对Web应用的攻击愈发频繁。《腾讯大牛教你Web前后端漏洞分析防御》一书旨在帮助读者深入理解Web安全领域的基础知识、...
Web前后端漏洞分析防御-知识梳理.zip
最新发布
03-03
在网络安全领域,Web前后端漏洞分析防御是至关重要的主题。这个压缩包文件"Web前后端漏洞分析防御-知识梳理.zip"很可能包含了对Web应用安全的深入探讨,特别是针对开发人员避免常见错误和陷阱的指导。让我们逐一...
5分钟科普CSRF攻击与防御Web安全的第一防线
02-25
目录:一、CSRF介绍CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常...
DWR弹出CSRF Security Error
qq_36866708的博客
08-26 255
tomcat6不报错,但是用tomcat8以上就提示“CSRF Security Error”,修改了dwr的版本,把3.0.0.116.rc1改成了3.0.rc3,问题解决。
CSRF漏洞总结
m0_62805300的博客
07-08 842
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站
java报错 csrf_CSRF Security Error解决办法
weixin_42203796的博客
02-25 370
在myeclipse上部署项目,遇到如下问题:错误描述:org.directwebremoting.dwrp.BaseDwrpHandler - A request has been denied as a potential CSRF attack.org.directwebremoting.dwrp.BaseCallHandler - Exception while processing ba...
DWR 弹出 "CSRF Security Error"
热门推荐
皮皮的专栏
03-21 1万+
打开浏览器,然后输入"localhost",然后删除,然后输入"www.baidu.com".我勒个去的! ---xingyunpi 利用DWR实现无刷新动态提交,结果,配置到远程服务器上竟然出现了这样的错误,弹出了错误窗口,错误信息为 "CSRF Security Error" ,左查右查,终于知道为啥了... 一般tomcat6是没有这样的错误,换成tomcat7就会这样,听一个老外说
禁止访问 (403) CSRF验证失败. 请求被中断.————错误处理(测试接口时遇到的问题)
Kinght_123的博客
01-06 3132
问题描述 解决措施 在Header参数中添加Content-Type和X-CSRFToken信息,这样就不会报错了。 运行结果
uniapp微信公众号使用iframe组件时报错{“result”:“csrf error”}
weixin_73610394的博客
02-20 1079
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF可以做什么:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发消息,转账,盗取你的账号。
CSRF漏洞详解,一文看懂CSRF
发哥微课堂
06-12 5972
0x00:CSRF 简述 CSRF(Cross Site Request Forgery,跨站请求伪造),字面理解意思就是在别的站点伪造了一个请求。专业术语来说就是在受害者访问一个网站时,其 Cookie 还没有过期的情况下,攻击者伪造一个链接地址发送受害者并欺骗让其点击,从而形成 CSRF 攻击。 0x01:CSRF 案例 受害者 (A) 登录了某个银行给朋友 (B) 转账,其转账操作发送...
DWR CSRF Security Error
漫漫长路,憩息港湾.(深水鱼)
09-08 238
错误描述: org.directwebremoting.dwrp.BaseDwrpHandler - A request has been denied as a potential CSRF attack.org.directwebremoting.dwrp.BaseCallHandler - Exception while processing batchjava.lang.Security...
CSRF Security Error解决办法
wuliangji_1的博客
01-21 2763
修改 web.xml 中 DWR 配置信息 在以下中加入加粗的部分 &lt;servlet&gt;         &lt;servlet-name&gt;dwr-invoker&lt;/servlet-name&gt;         &lt;servlet-class&gt;org.directwebremoting.spring.DwrSpringServlet&lt;/servlet-...
深度解析:CSRF漏洞原理与防御策略
CSRF漏洞,全称为Cross-Site Request Forgery,是一种常见的Web安全问题,常常被列入OWASP十大最严重安全漏洞之列。它与XSS和SQL注入并列为网络安全三大主要威胁。尽管CSRF的关注度相对较低,但它潜在的危害不容忽视...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值