CSRF学习笔记之CSRF的防御【00x4】

最新推荐文章于 2021-10-10 18:58:14 发布
最新推荐文章于 2021-10-10 18:58:14 发布
阅读量138 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/xishaonian/p/6540124.html
版权

referer 验证

     根据HTTP协议,在http请求头中包含一个referer的字段,这个字段记录了该http请求的原地址.通常情况下,执行转账操作的post请求www.bank.com/transfer.php应该是点击www.bank.com网页的按钮来触发的操作,这个时候转账请求的referer应该是www.bank.com.而如果黑客要进行csrf攻击,只能在自己的网站www.hacker.com上伪造请求.伪造请求的referer是www.hacker.com.所以我们通过对比post请求的referer是不是www.bank.com就可以判断请求是否合法.

这种方式验证比较简单,网站开发者只要在post请求之前检查referer就可以,但是由于referer是由浏览器提供的.虽然http协议有要求不能篡改referer的值.但是一个网站的安全性绝对不能交由其他人员来保证.

token 验证

      从上面的样式可以发现,攻击者伪造了转账的表单,那么网站可以在表单中加入了一个随机的token来验证.token随着其他请求数据一起被提交到服务器.服务器通过验证token的值来判断post请求是否合法.由于攻击者没有办法获取到页面信息,所以它没有办法知道token的值.那么伪造的表单中就没有该token值.服务器就可以判断出这个请求是伪造的.

转载于:https://segmentfault.com/a/1190000007932293

转载于:https://www.cnblogs.com/xishaonian/p/6540124.html

aiquan9342
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF学习
ad12456的博客
04-15 938
CSRF
CSRF的攻击与防御
02-26
这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
CSRF攻击与防御
chiying0079的博客
10-17 98
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消...
3. 从零开始学CSRF
weixin_30655569的博客
05-24 169
为什么要拿CSRF来当“攻击手法系列”的开头篇呢?因为CSRF/XSRF我个人喜爱他的程度已经超过XSS了。如果说XSS是一个老虎,那么CSRF就是隐藏在暗处的蛇。‍‍‍‍‍‍ ‍‍相信现在很多人不明白CSRF是怎么运作,他和XSS的不同是在哪里。我这里就逐步为大家解释,并从浅入深的介绍CSRF。‍‍ ‍‍入门‍‍‍‍‍‍ ‍‍我们先来看看CSRF和XSS的工作原理,先让大家把这两个分开来。...
CSRF 学习
weixin_47306547的博客
10-10 242
目录 CSRF定义 CSRF能够做到的事 CSRF攻击关键 CSRF攻击流程(原理) CSRF利用的前提条件 CSRF攻击方式 1.挟持用户 2.让用户执行非本意的操作。 CSRF漏洞的分类 1.GET CSRF 2.POST CSRF CSRF 漏洞的防御 1.无效防御 2.有效防御 CSRF定义 CSRF(Cross-Site Request Forgery)是跨站请求伪造,也常被称为 “OneClick Attack” 或者 “Session Ridin...
CSRF攻击的应对之道
01-30
CSRF(Cross SiteRequestForgery,跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的...CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如
Python Django框架防御CSRF攻击的方法分析
09-18
下面我们将深入探讨Django如何防御CSRF攻击,以及如何配置和使用这些防御策略。 首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单...
asgi-csrf:ASGI中间件,用于防御CSRF攻击
05-26
ASGI中间件,用于防御CSRF攻击 安装 pip install asgi-csrf 背景 请参阅及其。 该中间件实现了,该中设置了cookie,然后将其与csrftoken隐藏表单字段或x-csrftoken HTTP标头进行比较。 用法 像这样装饰您的ASGI...
CSRF基础学习
A1andNS's Blog
12-16 293
这是一篇关于CSRF的简单的了解学习博文。适合初步了解时阅读。
网站安全之csrf攻击
liutingxu1的专栏
01-16 986
一、简介 CSRF(Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相
CSRF漏洞学习
three_year的博客
05-10 256
CSRF介绍 CSRF全程为Cross-site request forgery,中文名为跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用 CSRF漏洞的原理 攻击者利用目标用户的身份,以目标用户的名义执行某种非法的操作 CSRF的危害 以目标的名义发送邮件、发信息、盗取目标用户的账号、个人信息等 CSRF攻击过程的重点 1.目标用户已经登录了网站,能够执行网站的功能 2.目标用户访问了攻击者构造的URL 演示 以DVWA靶机为实验机做实验 进入这个页面使用默认的账号和密码登录进
CSRF学习小结
weixin_30663471的博客
11-18 180
什么是CSRF CSRF,全称是Cross Site Request Forgery,也即跨站请求伪造。对于CSRF来说,它的请求有两个关键点:跨站点的请求和请求是伪造的。 跨站点的请求的来源是其他站点,当然恶意的请求也有可能来自本站,目标网站应该区分请求来源。如果请求的发出不是用户的意愿,那么这个请求就是伪造的。 一个场景 目标网站a:www.a.com 恶意网站b:www.b.com...
前端安全系列(二):如何防止CSRF攻击?
qq_27084325的博客
06-27 103
什么是CSRF CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。 防护策略 阻止不明外域的访问 同源检测 Samesite Cookie 提交时要求附加本域才能获取...
遗传算法:交叉操作 Order Crossover OX1, OX2, OX3, OX4, OX5
qq_32182397的博客
05-12 5814
OX11985:是最基本的Order Crossover ,执行过程如下: 首先从父代随机选择两个个体P1,P2和两个点 将P1,P2两点之间部分提取出来,放在子代O1,O2相同位置(这里与PMX是相反的) 子代中打叉的部分的填入方式是:从另一个父代第二个切点开始,删除已经填入的部分,然后按照顺序填入。例如,O1已经填入的部分来自于P1,然后将P2第二个切点排序,得到3,7,4,2,5,1,6,8,此时删除2,7,1三个点,剩余部分为3,4,5,6,8,然后将上面的序列按照顺序填入O1同理 OX2 .
CSRF课程.pdf
01-25
课程内容主要包括CSRF的概念和介绍、利用方法、预防措施等方面,通过学习这门课程,学生将了解CSRF的基础知识,掌握攻击方法,熟悉攻击场景并学会利用,学会检测漏洞的方法,并掌握漏洞的防御手段。 CSRF(跨站请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值