什么是CSRF

最新推荐文章于 2023-06-11 14:33:20 发布
最新推荐文章于 2023-06-11 14:33:20 发布
阅读量985 收藏 4
点赞数 1
分类专栏: web应用漏洞扫描 文章标签: CSRF 漏洞
原文链接:https://www.cnblogs.com/anyhoo/p/10635540.html
版权

什么是CSRF?

    CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。

 

CSRF攻击的本质原因

    CSRF攻击是源于Web的隐式身份验证机制!Web的身份验证机制大致就是说为了防止用户每次发送请求的时候都需要登录,在进行一次登录验证通过后,之后发向该域名的请求都会自动带上cookie。虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。CSRF攻击的一般是由服务端解决,而XSS主要是由客户端解决。

 

CSRF攻击的原理:

    1. 用户打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A。

    2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器。

    3. 用户在未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B。

    4. 网站B接收到用户请求后,发出一个访问网站A的请求。

    5. 浏览器根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户的Cookie信息处理该请求,达到模拟用户操作的目的。

    tips:Session Cookie(在浏览器关闭后,就会失效,保存到内存)

           Third-party Cookie(关闭浏览器后,不会失效,保存到本地)

常见的CSRF攻击

  1. Get请求,操作数据库内容
    比如网站A的修改密码接口是GET方式,通过调用api/ChangePassword?psw=123就可以进行密码的修改,所以在开发的过程中如果涉及到数据改动都建议采用POST请求

  2. 隐藏表单提交POST请求
    单纯的POST当然也是能伪造的,JS利用form表单可以跨域请求的特性的提交POST请求仍然能够产生CSRF攻击。

  3. 如果网站A有使用Flash,并将跨域策略文件中的allow-access-from domain设置为素有,也是有可能产生CSRF攻击的。

  4. XSRF
    通常来说CSRF是由XSS实现的,所以CSRF时常也被称为XSRF,用XSS的方式实现伪造请求,比如网站A存在XSS漏洞,被注入恶意代码后,当有用户访问到有恶意代码的网页的时候,就会发送一条类似转账,关注啊之类的请求,做到XSRF攻击。

看完这几种攻击方式,大概应该能辨别什么时候是CSRF攻击了,简单说就是只要发起了冒牌请求那么就算是CSRF(XSRF)

顺便再总结下XSS和CSRF的其他区别

  • 区别一,发生位置

        XSS:发生在客户端

        CSRF:发生在服务端

  • 区别二,原理

        XSS:注入代码,执行代码,篡改内容

        CSRF:携带Cookie模拟请求

  • 区别三,根源

        XSS:同源策略机制

        CSRF:Web隐式身份验证机制

  • 区别四,就Cookie而言

        XSS:盗取Cookie来干坏事

        CSRF:借用Cookie来干坏事

 

如何防范CSRF攻击

    一、Referer(记录 HTTP 请求的来源地址) Check

         好处是只需要增加一个拦截器来检查 Referer ,用于过滤非该服务器域名的地址,不需要改变当前系统的任何已有代码和逻辑,非常快捷。

        但是,Referer 的值是由浏览器提供的,虽然 HTTP 协议上有明确的要求,但是每个浏览器对于 Referer 的具体实现可能有差别,并不能保证浏览器自身没有安全漏洞。使用验证 Referer 值的方法,就是把安全性都依赖于第三方(即浏览器)来保障,不是很靠谱,并且一些低版本的浏览器像IE6等有方法对Referer 进行篡改。还有重要的一点是,用户可以设置浏览器不携带 Referer字段。

 

    二、验证码

        强制用户必须与应用进行交互,才能完成最终请求。在通常情况下,验证码能很好遏制CSRF攻击。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段,不能作为主要解决方案。

 

    三、Token

        在 HTTP 请求中以参数的形式添加一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,假设请求中没有 token 或者 token 内容不对,则觉得可能是 CSRF 攻击而拒绝该请求。并且涉及数据库操作的接口使用POST,因为GET不好加Token,会暴露Token的保密性。

    关于Token

  • Token 应该保存到 local / session stograge(不会跨域工作) 或者 cookies

  • Tokens 除了像 cookie 一样有有效期,还要提供过期重新获取、强制刷新、撤回等操作

  • 有需要的话,要加密并且签名 token

  • 将 JSON Web Tokens(JWT) 应用到 OAuth 2

 

    四、HTTP 头中自定义属性并验证

        类似方法三,只不过不是以参数形式,而是请求头字段携带Token信息。但是要把所有请求都改为 XMLHttpRequest 请求。

BinkerKing
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF跨站请求伪造CSRF PHP demo代码,带数据库,2021年5月4日,亲测可以运行
understanding-csrf:什么是CSRF令牌,它们如何工作?
04-29
了解CSRF Express团队的和模块经常会弹出有关我们使用加密功能的问题。 由于对CSRF令牌的工作方式有误解,因此无需担心。 所以这是一个快速的失败! 阅读此书,还有疑问吗? 想告诉我们我们错了吗? 打开一个问题! CSRF攻击如何起作用? 攻击者可以自己(钓鱼网站)创建一个AJAX按钮或表单,以针对您的站点创建请求: < form action =" https://my.site.com/me/something-destructive " method =" POST " > < button type =" submit " > Click here for free money! </ button > </ form > 对于AJAX来说,情况更糟,因为攻击者可以使用其他方法(如DELETE来读取结果。 当用户在您的站点上进行带有非常个人详细信息的会话时,这
CSRF 详情讲解 !!!
weixin_52834606的博客
09-05 3029
CSRF 详解 ! spring security 攻击
CSRF攻击方式
weixin_30885111的博客
03-20 364
来源:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理...
你需要知道的web安全
yz_weixiao的博客
01-11 110
对于前开发来说,不管是日常开发还是面试中,都或多或少接触过安全相关的问题。那到底什么是安全呢?一般而言,大家肯定第一时间会想到XSS、CSRF等。当然这个确实是安全方面的问题,但是安全问题是个很大很广的话题,并不仅仅只有这两种安全问题,这里就简单介绍下web开发中涉及到的安全问题和如何进行一些简单的防范手段。
CSRF简介
热门推荐
qq_45803593的博客
05-12 4万+
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
【网络安全】CSRF详解
2201_75857562的博客
03-09 2545
跨站请求伪造,冒用Cookie中的信息,发起请求攻击。CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。为了更好的防御CSRF,最佳实践应该是结合上面总结的防御措施方式中的优缺点来综合考虑,结合当前Web应用程序自身的情况做合适的选择,才能更好的预防CSRF发生
带你了解CSRF和XSS(二)
weixin_30762087的博客
04-01 255
什么是CSRFCSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。 CSRF攻...
什么是 CSRF
布袋和尚
02-13 5354
1、CSRF是什么? CSRF(Cross-site request forgery),也被称为:one click attack / session riding,中文名称:跨站请求伪造,缩写为:CSRF/XSRF。 一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否
什么是CSRF?可能多数人都不清楚,没事,一起来了解!!!
lajos的博客
06-23 3万+
        CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。        这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户...
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
anticsrfCSRF预防库的示例用法
02-02
反抗 CSRF预防库的示例用法
网络安全
sifanchao的博客
05-31 1827
有哪些可能引起前安全的的问题 跨站脚本 (Cross-Site Scripting, XSS): 一种代码注入方式, 为了与 CSS 区分所以被称作 XSS. 早期常见于网络论坛, 起因是网站没有对用户的输入进行严格的限制, 使得攻击者可以将脚本上传到帖子让其他人浏览到有恶意脚本的页面, 其注入方式很简单包括但不限于 JavaScript / VBScript / CSS / Flash 等 iframe的滥用: iframe中的内容是由第三方来提供的,默认情况下他们不受我们的控制,他们可以在ifram
Web常见安全问题
javagty6778的博客
02-22 232
可以保证通信双方传输数据的安全,这种方式避免服务器向客户端传输时数据泄露的现象,因为此时使用了不同的加密方法,但可恶的中间人依然有方法发起攻击,流程是。对称加密里最重要的是让通信双方都获得密钥,但这里密钥使用明文传输,密钥传输时就可能被中间人截获,最终造成数据泄露,有中间人攻击的流程是。传输的特点是明文传输,那在传输过程中传输信息可能会被黑客截获,重要的数据如用户名、密码就会泄露,这显然是不安全的。攻击(巨量请求)时,网站的服务器因其带宽和资源有限,无法处理这些需要响应的请求,导致服务器崩溃停止运作。
安全之XSS,CSRF中间人攻击(MITM攻击),SQL 注入概念详解
qq_43477721的博客
07-01 1160
1. 什么中间人攻击 中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”):是指攻击者与通讯的两分别创建独立的联系,并交换其所收到的数据,使通讯的两认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。 概括:请求或响应在传输途中,遭攻击者拦截并篡改内容的攻击 中间人攻击是一个(缺乏)相互认证的攻击。占据两个参与者之间的通信通道是中间人攻击的核心。 大多数的加密协议都专门加入了一些特
【深入浅出 Spring Security(八)】前后分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 2926
前后分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
(29.1)【CSRF详解】CSRF原理、利用过程、分类、举例、工具……
04-06 9241
一个细节都不不想放过
【Web 安全】CSRF 攻击详解
weixin_44211968的博客
05-11 1万+
文章目录一、CSRF 简介二、CSRF 原理三、CSRF 的危害四、CSRF 的攻击类型五、CSRF 的防御1. 验证 HTTP Referer 字段2. 在请求地址中添加 token 并验证3. 在 HTTP 头中自定义属性并验证参考链接 一、CSRF 简介 CSRF(Cross Site Request Forgery,跨站域请求伪造),也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF 。 尽管听起来像跨站脚本(XSS),但它与X
基于matlab实现的空间调制通信过程,包含信号调制、天线选择等发送过程,以及采用最大似然估计的检测过程 .rar
最新发布
05-02
基于matlab实现的空间调制通信过程,包含信号调制、天线选择等发送过程,以及采用最大似然估计的检测过程。.rar
什么是 CSRF 攻击
07-27
CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击是一种常见的网络安全漏洞,它利用了用户在一个网站上已经登录的身份来伪造请求并发送到另一个网站,以执行未经授权的操作。攻击者利用用户的身份在用户不知情...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值