渗透之路基础 -- 跨站伪造请求CSRF

最新推荐文章于 2022-10-04 18:05:30 发布
最新推荐文章于 2022-10-04 18:05:30 发布
阅读量150 收藏 1
点赞数
原文链接:http://www.cnblogs.com/r0ckysec/p/11531473.html
版权

漏洞产生原因及原理

跨站请求伪造是指攻击者可以在第三方站点制造HTTP请求并以用户在目标站点的登录态发送到目标站点,而目标站点未校验请求来源使第三方成功伪造请求。

XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。

与XSS区别

​ XSS是可以获取到用户的cookie,不需要伪造,是用户直接触发,它可以完成网站上脚本的任意功能

​ CSRF不知道cookie的详细信息,是利用cookie伪造成用户来向服务器发送请求

漏洞危害

欺骗用户的浏览器发送HTTP请求给目标站点

通过IMG标签会触发一个GET请求,可以利用它来实现CSRF攻击

漏洞防御

1 使用token

2 限制refer

3 使用验证码技术

漏洞案例演示

以DVWA演示一个案例

DVWA修改密码处存在CSRF,只需要通过点击点击链接,受害者的密码就会被修改

1404622-20190917085626567-290896631.png

密码就在url请求中

1404622-20190917085641192-1189680040.png

这就是简单的 CSRF跨站请求伪造

转载于:https://www.cnblogs.com/r0ckysec/p/11531473.html

b627074592
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CISP-PTE注册信息安全专业人员渗透测试工程师-认证课件资料
01-30
CISP-PTE注册信息安全专业人员渗透测试工程师-认证课件资料:2个版本,共25个课件文件 01.WEB安全简介 02.信息收集 03.漏洞扫描 ...05.SQL注入之基础篇 07.暴力破解 08.文件上传漏洞 ...14.CSRF跨站请求伪造 15.SSRF
保护您的 ASP.NET 应用程序
Lassewang的成长历程
02-03 1310
在上一期中,我讨论了构建 Web 应用程序安全性的重要性,并介绍了包括 SQL 注入和参数篡改在内的一些攻击类型,以及如何防范这些类型的攻击 (msdn.microsoft.com/magazine/hh580736)。 在本文中,我将深入探讨以下两种更常见的攻击,以帮助完善我们的应用程序保护体系:跨站点脚本 (XSS) 和跨站请求伪造 (CSRF)。 您可能很想知道: 只使用生产安全扫
「第四章」跨站请求伪造(CSRF)
hacckjacking
01-22 506
「第四章」跨站请求伪造(CSRF) 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs ...
web基础漏洞CSRF跨站请求伪造漏洞)
m0_62274649的博客
10-04 1284
一些自己的小总结,有待完善
安全测试之跨站请求伪造(CSRF)攻击
小太阳~
01-28 6951
一、CSRF攻击的概念CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,对用户的安全及网站的安全具有很大的危害性。一、CSRF攻击的原理如下图所示,CSRF攻击的原理比较容易理解,其中Web A是存在CSRF漏洞的网站,Web B是
CSRF(跨站请求伪造)漏洞
weixin_50464560的博客
08-25 1305
CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 漏洞危害 修改用户信息,修改密码,以你的名义发送邮件、发消息、盗取你的账号等 攻击条件 用户已登录存在CSRF漏洞的网站 用户需要被诱导打开攻击者构造的恶意网站 攻击过程 .
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
【网络安全自学篇】八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结 本文主要介绍了网络安全领域中常见的几种攻击手段,包括CSS注入、越权访问、csrf-token窃取以及XSS跨站脚本攻击,并通过WHUCTF比赛中的...
CISP-PTE渗透测试工程师知识体系大纲 (很全)
06-12
- **CSRF**:跨站请求伪造,攻击者诱使受害者在当前已登录的Web应用程序上执行恶意操作。 - **文件处理漏洞** - **任意文件上传**:上传恶意文件到服务器。 - **任意文件下载**:未经授权下载服务器上的文件。 - ...
渗透安全面试题库-v3.pdf
08-10
- CSRF跨站请求伪造):攻击者诱使用户执行非预期的敏感操作。 - XSS(跨站脚本):注入恶意脚本到网页,影响用户浏览器。 - XXE(XML外部实体注入):利用XML解析漏洞读取服务器文件或进行远程攻击。 这些...
CSRF-Request-Builder-master_request.builder_CSRFtester_kitchenvw
09-30
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,攻击者通过诱导用户执行非预期的操作来操纵他们已登录的Web应用程序。`CSRF-Request-Builder`是一个专门针对此威胁的测试工具,其核心...
前端安全问题——CSRF跨站请求伪造
godming的博客
12-06 337
CSRF跨站请求伪造(Cross—Site Request Forgery) 我们可以这样理解: 用户登录,网站A核查身份是否正确,正确就下发cookie,cookie会保存在用户的浏览器中,这就完车了一次身份认证的过程,接下来呢,用户又访问了一个网站B,网站B在给用户返回页面的时候,会携带一个引诱性的点击,这个点击往往是一个链接,这个链接一般就是网站A的API接口。当用户点击了这个链接后,这个...
Web Security Academy 跨站伪造请求CSRF
汗的博客
12-08 730
笔者Burpsuite Web 安全学院的学习笔记 Burpsuite Web 安全学院:Cross-site request forgery (CSRF)
CSRF01】跨站请求伪造——漏洞基础原理及攻防
Fighting_hawk的博客
03-14 4680
1. 理解CSRF的攻击原理; 2. 重点掌握CSRF的三种攻击方式; 3. 了解CSRF的危害; 4. 重点掌握CSRF的防御手段。
CSRF跨站请求伪造
分享学习网络的点点滴滴
08-26 261
与XSS经常混淆从信任的角度来区分XSS:利用用户对站点的信任CSRF:利用站点对已经身份认证的信任结合社工在身份认证会话过程中实现攻击修改账号密码、个人信息(email、收货地址)发送伪造的业务请求(网银、购物、投票)关注他人社交账号、推送博文在用户非自愿、不知情的情况下提交请求。...
跨站请求伪造CSRF
whoim_i的博客
11-24 4837
目录原理解释CSRF分类GET型POST型CSRF漏洞挖掘使用burpsuite快速生成CSRF poc防御手段 原理解释 画个丑图来解释一波 1、 用户输入账号信息请求登录A网站。 2、 A网站验证用户信息,通过验证后返回给用户一个cookie 3、 在未退出网站A之前,在同一浏览器中请求了黑客构造的恶意网站B 4、 B网站收到用户请求后返回攻击性代码,构造访问A网站的语句 5、 浏览器收到攻...
一个比较好用的CSRF跨站请求伪造工具类
孔方子的博客
02-25 672
前言描述:最近项目里,安全测试组发现通过SQL注入可以轻松登录后台管理系统,于是就加了个CSRF跨站请求伪造功能,防止被恶意登录。 以下是代码部分: package com.faw.***.common.xss; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; ...
白帽子讲web安全之 跨站请求伪造CSRF
hhh
03-02 374
白帽子讲web安全之 跨站请求伪造CSRF) (有些内容纯属个人理解,如有错误请不吝指正) CSRF简介 本质: 在用户不知道的情况下,攻击者猜解出了一个正确的url,伪造访问请求并且成功访问了此url下的内容。 浏览器的cookie策略 在攻击者进行CSRF攻击时,会遇到一个问题,即要做到成功访问某些页面是需要认证的。这就涉及了cookie。 cookie分为:Session Coo...
渗透测试,CSRF基础知识
最新发布
07-23
CSRF(Cross-Site Request Forgery)是一种常见的网络安全漏洞,攻击者利用用户在目标网站的身份验证信息,通过伪造请求来执行非法操作。以下是关于 CSRF基础知识: 1. CSRF 的原理:CSRF 攻击利用了网站对用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值