跨站点请求伪造(CSRF)

最新推荐文章于 2024-08-20 10:59:04 发布
最新推荐文章于 2024-08-20 10:59:04 发布
阅读量752 收藏
点赞数
分类专栏: 网络安全 文章标签: CSRF 跨站点请求伪造 Web漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starhosea/article/details/87856607
版权

1. 什么是CSRF

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

2. 案例分析

背景:某用户在正常转账时被CSRF攻击,账户余额被盗取

1)用户A 向银行发起转账请求 http://bank.com/transfer?from=a&to=b&amount=1000, 此时,服务器通过验证Session对A身份进行验证,A完成正常转账操作

2)黑客C也在同一家银行开设了账户,并向银行发起转账请求:http://bank.com/transfer?from=a&to=c&amount=1000, C身份验证失败,请求失败

3)此网站存在CSRF漏洞,黑客C发布了一个网页,网页中嵌入代码http://bank.com/transfer?from=a&to=c&amount=1000, 并诱导A点击此网址或图片,此时请求将从用户A的浏览器向银行发起请求,并附带有A的Cookie,A刚刚访问了银行网站,Session值尚未过期,浏览器的 cookie 之中含有 A 的认证信息

4)悲剧发生!通过用户A的浏览器向银行服务器发送的请求 http://bank.com/transfer?from=a&to=c&amount=1000 将会被执行,A账户中的钱款被转账至C账户

5)无法追溯及追责,银行日志显示确实有一个来自于A本人的合法请求转移了资金,没有任何被攻击的痕迹.

3. 防范措施

1)对于web站点,将持久化的授权方法(例如cookie或者HTTP授权)切换为瞬时的授权方法(在每个form中提供隐藏field),这将帮助网站防止这些攻击。一种类似的方式是在form中包含秘密信息、用户指定的代号作为cookie之外的验证。
2) 检查 Refer 字段。在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。通过校验关键的请求的中Referer字段(如银行转账请求),判断请求是来源自身站点的,视为合法请求。
3)确保没有XSS漏洞。

Star丶Xing
关注
专栏目录
CSRF--跨站请求伪造
weixin_44940180的博客
08-11 176
原理 攻击者盗用身份以用户名义发送恶意请求 可能用到的标签 <link href=" "> <img src=" "> <iframe src=" "> <script src=" "> csrf与xss的区别 GET 分析源码可以看出来检查了 HTTP_REFERER中是否包含SERVER_NAME 所以不能随意构造一个URL诱使管理员点击 所以,我们可以将攻击页面命名为192.168.3.3.html就可以绕过了 原本数据库中管理员的密码为
跨站请求伪造 CSRF攻击
ChenJZ_8的博客
08-30 1072
安全测评测出一下问题: 以下是我的代码解决方案: 1、写好一个类,给它命名为CSRFilter.java package com.xr.modules.sys.utils; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.ser...
Web安全相关(二):跨站请求伪造CSRF/XSRF)
weixin_30457465的博客
05-16 210
简介   CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻...
CSRF跨站请求伪造
最新发布
YhMjQx的博客
08-20 711
Crose-Site Request Forgery,跨站请求伪造,攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF的攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行点击。用户一旦点击,整个攻击也就完成了。所以CSRF攻击也被称为“one click”攻击。用户登录受信任的网站 A,并在本地生成了相应的 Cookie 用于身份验证。网站 A 没有对用户请求进行有效的同源验证。
跨站伪造请求 (CSRF)
KerryRuan的专栏
04-06 719
跨站伪造请求 (CSRF)”攻击可让黑客以受害者的名义在易受攻击的站点上运行操作。当易受攻击的站点未适当验证请求来源时,便可能出现这个攻击。  这个漏洞的严重性取决于受影响的应用程序的功能,例如,对搜索页面的 CSRF 攻击,严重性低于对转帐页面或概要更新页面的 CSRF 攻击。  这项攻击的执行方式,是强迫受害者的浏览器向易受攻击的站点发出 HTTP 请求。如果用户目前已登录受害
CSRF(Cross-Site Request Forgery) 跨站请求伪造
Eason_LYC安全白帽子的成长博客
05-13 1648
WEB安全中CSRF漏洞攻击最为全面的知识点总结,直击核心知识点,将零散的知识汇总梳理。为深入学习CSRF打下良好基础!
java 跨站伪造请求_Web安全教程之CSRF(跨站请求伪造)
weixin_33791488的博客
03-07 244
前端面试过程中遇到的另一个最多的问题就是web安全了,之前博客有分享过XSS攻击的内容,这次聊聊CSRF攻击。CSRF是一种常见的攻击,但是也是web安全中最容易被忽略的一种攻击方式。什么是CSRF(跨站请求伪造)根据字面意思,大概能猜到,CSRF攻击就是攻击者伪造了用户的请求,在用户不知道的情况下,以用户的名义向服务器发送恶意请求。常见的场景是,用户首先登陆一个正常(下面称为被攻击网站)的网站...
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
【burpsuite安全练兵场-客户端12】跨站请求伪造CSRF-12个实验(全)
xnxqwzy的博客
01-26 2156
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
DVWA 实验报告:3、跨站请求伪造 CSRF
看那白熊
05-14 1702
跨站请求伪造的复现
java如何解决跨站请求伪造_跨站请求伪造CSRF
weixin_39620001的博客
02-13 2125
一、前言跨站请求伪造(Cross-SiteRequest Forgeries, CSRF),是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击;有如下危害:1、利用已通过认证的用户权限更新设定信息;2、利用已通过认证的用户权限购买商品,虚拟货币转账;3、利用已通过认证的用户权限在留言板发表言论;二、攻击原理:第一步:验证用户访问存在CSR...
CSRF--跨站请求伪造
xylyaya的博客
12-31 212
CSRF攻击的全称是跨站请求伪造( cross site request forgery),是一种对网站的恶意利用。 XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。 CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等,甚至盗取你的账号。 用户访问登录正...
CSRF(Cross-site request forgery)跨站请求伪造
weixin_59496235的博客
03-26 1010
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。我们通常是给受害者发送一个链接,而在正常的情况下人们通常不会点击一个很长的、看起来就不正常的链接,这个就需要利用到社会工程学,学会利用人们的心理来达到我们的目的,诱使他们点击我们构造的链接,这种情况下我们需要把长的链接转化成一个短的链接,而网上正好可以找到很多这种在线的工具。
CSRF——跨站请求伪造
weixin_42633359的博客
10-18 226
1、CSRF跨站请求伪造的流程 该过程存在三方:用户客户端、正常网站A、恶意攻击网站B(前提存在CSRF漏洞)   1、用户登陆了正常网站A输入了相关的验证信息。   2、正常网站将cookie写入浏览器,实现了状态保持   3、用户在未退出正常网站的情况下访问了恶意网站   4、恶意网站指定了action=“正常网站的url”,伪造请求参数。   5、用户在主观未知的情况下,再次访问了正常网...
CSRF(跨站请求伪造)
无痕的博客
01-18 8487
csrf跨站请求伪造介绍、csrf攻击在dvwa环境中的应用
CSRF跨站请求伪造
陌茗228.的博客
04-11 125
CSRF跨站请求伪造,利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 Low: 源代码: <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_
CSRF - 跨站请求伪造
weixin_46601374的博客
03-01 5699
什么是CSRF? CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 实说白了..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值