Java中的跨站请求伪造

最新推荐文章于 2023-06-29 15:15:33 发布
最新推荐文章于 2023-06-29 15:15:33 发布
阅读量590 收藏
点赞数
文章标签: java servlet 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/125974601
版权

预防

Java 不提供针对 CSRF 攻击的内置保护;开发人员必须通过手动强制执行反 CSRF 令牌或使用许多经过良好测试的可用库之一来实现它。

小服务程序 API

当使用标准的 Servlet API 时,双重提交 cookie 技术可以如下实现。要生成用作标记的随机字符串,可以使用SecureRandom该类,例如:

public class CSRF {
	public static String getToken() throws NoSuchAlgorithmException{
	    // generate random data
	    SecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG");
	    byte[] data = new byte[16];
	    secureRandom.nextBytes(data);

	    // convert to Base64 string
	    return Base64.getEncoder().encodeToString(data);
	}
}

假设使用 JSP 页面呈现 HTML 页面,可以使用以下代码段将 CSRF 令牌添加到表单和响应 cookie:

<%
// generate a random CSRF token 
String csrfToken = CSRF.getToken();

// place the CSRF token in a cookie
javax.servlet.http.Cookie cookie = new javax.servlet.http.Cookie("csrfToken", csrfToken);
response.addCookie(cookie);
%>

<form action="/action" method="POST">
  <input type="hidden" name="csrfToken" value="<%= csrfToken %>"/>
</form>

最后,对于每个操作,通过检查 cookie 中的 CSRF 令牌是否与表单中的值匹配来确保请求是合法的:

public void doAction(HttpServletRequest request, HttpServletResponse response) {
	// get the CSRF cookie
	String csrfCookie = null;
	for (Cookie cookie : request.getCookies()) {
		if (cookie.getName().equals("csrf")) {
			csrfCookie = cookie.getValue();
		}
	}

	// get the CSRF form field
	String csrfField = request.getParameter("csrf");

	// validate CSRF
	if (csrfCookie == null || csrfField == null || !csrfCookie.equals(csrfField)) {
		try {
			response.sendError(401);
		} catch (IOException e) {
			// ...
		}
		return;
	}

	// ...
}

参考

OWASP -跨站点请求伪造备忘单MITRE - CWE 352

allway2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat怎样防止请求伪造(CSRF) 1
08-08
在 Web 应用开发请求伪造(CSRF)是一种常见的安全威胁。请求伪造攻击是指攻击者诱骗受信任用户访问恶意网,从而使得恶意网能以用户身份对受信任网执行操作。为了防止这种攻击,Tomcat 提供了一个...
使用java方式处理请求伪造(CSRF)
weixin_43977799的博客
09-17 6243
什么是CSRF 请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟脚本(XSS)相比,XSS 利用的是用户对指定网的信任,CSRF 利用的是网对用户网页浏览器的信任...
java springboot 通过Referer防止请求伪造
qq_44154912的博客
10-21 4043
防止请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
java审计-CSRF请求伪造
admin741admin的博客
04-13 286
CSRF的全名为Cross-site request forgery,它的文名为 请求伪造。CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。
请求伪造—CSRF
FEWY的博客
11-26 858
CSRF 介绍 CSRF,是请求伪造(Cross Site Request Forgery)的缩写,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。 通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。 CSRF 攻击示例 这里有一个网,用户可以看...
请求伪造(CSRF)总结和防御
bluemoon_0的博客
02-04 2024
请求伪造(CSRF)总结和防御
CSRF(请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),文一般译作请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
java 伪造http请求ip地址的方法
08-26
Java 伪造 HTTP 请求 IP 地址是指通过修改 HTTP 请求的 IP 地址信息,从而使得服务器端能够获取到伪造的 IP 地址。这种方法可以应用于各种需要伪造 IP 地址的场景,例如在第三方系统接口对接时,需要将调用...
请求伪造-CSRF防护方法
03-12
请求伪造-CSRF防护方法 CSRF(Cross-Site Request Forgery,请求伪造)是一种常见的Web攻击方式,攻击者可以欺骗用户浏览器,发出恶意请求,危害用户的安全。因此,防御CSRF攻击非常重要。下面将对CSRF攻击...
Ajax与请求伪造漏洞
03-22
### Ajax与请求伪造(Cross-Site Request Forgery, XSRF)漏洞详解 #### 一、背景介绍 在互联网应用开发过程,安全性一直是不容忽视的重要方面。随着Ajax技术的普及,它带来的便利性同时也引入了一些新的...
java审计-SSRF请求伪造
admin741admin的博客
04-13 535
在某些代码HttpURLConnection httpUrl = (HttpURLConnection) urlConnection;对服务器所在的内网、本地进行端口扫描,获取一些服务的banner信息。攻击内外网的web应用。sql注入、struct2、redis等。对内网web应用进行指纹识别,通过访问默认文件实现。攻击运行在内网或者本地的应用程序。利用file协议读取本地文件等。
请求伪造(CSRF)、主机头攻击、非GET/POST方法预防,一篇就够!
m0_47905795的博客
06-19 1003
当前在处理系统安全测试缺陷问题时,发现诸多安全问题,记录解决过程和方法,分享共勉。解释:在计算机网络,主机头攻击是一种网络安全攻击方式,它利用了网络协议栈的缺陷,以伪造的IP地址为源地址向网络发送数据包,目的是在欺骗目标主机,使其认为这些数据包是从指定的合法源发出的,并从而欺骗目标主机执行一些攻击者预期的动作。主机头攻击通常也被称作,攻击者会伪造数据包的。
Java的10种方法防止XSS攻击
最新发布
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
请求伪造(CSRF)攻击原理及预防手段
m0_47905795的博客
06-02 5569
随机化Token(CSRF Token):Token是用于验证网请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序,可以通过hidden field的方式将Token加入到表单,提交时验Referer检查:在服务端校验请求的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
java 请求伪造攻击_请求伪造(CSRF)
weixin_33377571的博客
02-25 742
1. 什么是请求伪造(CSRF)CSRF(Cross-site request forgery请求伪造,也被称为“One Click Attack”或者sessionRiding,通常缩写为CSRF或者XSRF,是一种对网的恶意利用。尽管听起来像脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信...
漏洞修复-服务端请求伪造(SSRF)
路辉的博客
03-31 1877
点击上方名片关注我,为你带来更多踩坑案例- 什么是SSRF-SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统,因为服务器请求天然可以穿越防火墙。漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做正...
java如何解决请求伪造_请求伪造(CSRF)
weixin_39620001的博客
02-13 2064
一、前言请求伪造(Cross-SiteRequest Forgeries, CSRF),是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击;有如下危害:1、利用已通过认证的用户权限更新设定信息;2、利用已通过认证的用户权限购买商品,虚拟货币转账;3、利用已通过认证的用户权限在留言板发表言论;二、攻击原理:第一步:验证用户访问存在CSR...
xss攻击和csrf攻击的定义及区别
weixin_33841503的博客
04-22 356
1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):请求伪造。 PS:文名一定要记住。英文全称,如果记不住也拉倒。 2.CSRF的攻击原理 用户是网A的注册用户,且登录进去,于是网A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网A,并在本地生成Coo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值