跨站点请求伪造(CSRF)总结和防御

最新推荐文章于 2024-04-29 06:51:48 发布
最新推荐文章于 2024-04-29 06:51:48 发布
阅读量2k 收藏
点赞数
文章标签: csrf chrome 前端 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bluemoon_0/article/details/128883402
版权

什么是CRSF

构建一个地址,比如说是删除某个博客网站博客的链接,然后诱使已经登录过该网站的用户点击恶意链接,可能会导致用户通过自己的手将曾经发布在该网站的博客在不知情的情况下删除了。这种构建恶意链接,假借受害者的手造成损失的攻击方式就叫CSRF-跨站点请求伪造。

浏览器Cookie策略

cookie分类

cookie根据有无设置过期时间分为两种,没有设置过期时间的为Session Cookie(会话cookie),firefoox有标注哪些cookie是会话cookie,这种cookie保存在内存空间中,在浏览器进程的生命周期中都有效,但是一关闭浏览器就被抹除。另外一种设置过期时间的叫做third-party Cookie,也称之为本地cookie,保存在本地,在过期时间内都可以使用。

CSRF实现原理

一般用户的操作都需要登录以后才能进行,csrf就是利用用户的登录cookie,让用户在自己的恶意网站中向博客网站发送了删除请求。比如让用户点击链接黑客的网站,黑客在网站中加上一个图片链接,该链接实际是向博客网站发送一个删除请求:

 恶意网站
 
<html>
 
<p>这是黑客诱导客户访问的恶意网站地址</p>
 
<img src = "http://csdn.com?delete=10">
 
</html>

要实现这个还需要用到用户登录csdn后的cookie,之前谈同源策略的时候说过,img、iframe之类的标签不受同源策略的影响

最低0.47元/天 解锁文章
网络安全敢敢
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
域访问被禁止的演示示例
oscar999的专栏
03-02 1042
Web端的域访问是不被允许的, 本篇演示两种场景: 1. 通过Ajax访问域资源 2. 在iframe 中嵌入域的一个站点的地址
跨站请求伪造的处理方法
每天学习一点点
05-28 4924
使用安全软件对网站扫描后报出“跨站请求伪造”的漏洞。
跨站请求伪造
记录或发现工作问题,予以解决
04-15 4306
安全报告中会提示vue打包后的js文件,可以通过模拟请求头的文件进行发送请求,才从而变得不安全,为了防止这种事情发生,需要通过nginx的代理进行控制除了服务器的ip以及baidu的ip地址,其余的模拟请求地址不允许访问该js文件。
什么是HTTP协议中的跨站请求伪造CSRF)?如何防范?
最新发布
长风破浪会有时的博客
04-29 204
具体来说,当你登录了一个网站(比如银行网站或者购物网站)之后,你的浏览器会保存一些信息,让你在接下来的浏览中保持登录状态。这个时候,如果你不小心访问了一个恶意的网站,这个网站可能会在背后偷偷地向你刚刚登录过的网站发送请求,就像是用你的名义去告诉银行:“请把我的钱转到这个账户。:这是一种特殊的标记,每次你访问网站时,网站都会给你一个新的Token。跨站请求伪造CSRF)就像是一个坏人在你不知道的情况下,偷偷用你的名义去做一些不好的事情。这就像是你的朋友只接受来自你的电话,不接受陌生人的电话一样。
教你轻松解决CSRF跨站请求伪造攻击
华为云官方博客
04-21 4759
CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
跨站请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5528
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
强大的防御跨站请求伪造.pdf
08-01
配套博客:https://blog.csdn.net/qq_41739364/article/details/96846943
mod_csrf:防止跨站请求伪造的 Apache 模块。-开源
05-30
跨站请求伪造(Cross-Site Request Forgery,简称 CSRF 或 XSRF)是一种网络攻击方式,它利用了用户浏览器已经存储的登录凭证,如Cookie,来执行非授权的操作。这种攻击常见于Web应用中,使得攻击者能够在用户不...
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
跨站请求伪造CSRF,Cross-site request forgery)是一种针对Web应用的攻击方式,它利用了用户浏览器的隐式身份验证机制,即Cookie。CSRF攻击与跨站脚本(XSS)不同,XSS主要针对的是站点内部的信任用户,而CSRF则...
跨站请求伪造.zip
05-28
压缩包内分为笔记部分和环境搭建部分: 笔记部分:CSRF介绍、Cookie机制、检测CSRF漏洞存在、CSRF防御 环境搭建部分:bank文件夹中存放笔记中网站搭建源码、构造的get、post页面源码。 解压密码:456.com
跨站请求伪造-CSRF防护方法
03-12
跨站请求伪造-CSRF防护方法跨站请求伪造-CSRF防护方法
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修改测试的请求成功被网站服务器接受,则说明存在CSRF漏洞。
跨站请求伪造解决方案
热门推荐
NumOneDD的博客
06-30 1万+
AppScan 跨站请求伪造 Token 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 1.跨站请求伪造 首先,什么是跨站请求伪造? 跨站请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造你的请求,最可怕
漏洞解决方案-跨站请求伪造漏洞
smart的博客
08-11 5280
跨站请求伪造漏洞CSRF跨站请求伪造漏洞CSRF一、问题描述:二、整改建议:三、案例:1. 客户端进行CSRF防御2. 服务端进行CSRF防御 跨站请求伪造漏洞CSRF 一、问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,
跨站请求伪造解决_WEB开发常见的安全漏洞和解决思路
weixin_39620273的博客
12-08 1575
一,SQL注入SQL注入时web开发中最常见也是危害性最大的安全漏洞,SQL注入攻击可能会导致 服务器故障,数据泄漏,数据被恶意删除等等严重后果。SQL注入最常见的方式有:1.布尔型盲注在互联网刚刚兴起的时候,该方法常常会被用来恶意登录一些安全性不高的网站:SELECT * FROM users WHERE user_name ='zhangsan' and password ='mima';如果...
CSRF(跨站请求伪造)详解
Y22Lee的博客
04-10 1620
CSRF全称Cross-Site Request Forgery,也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。当发现网站存在CSRF漏洞时,攻击者会利用网站源码,构建一个存有恶意请求的网站或者是链接,引诱受害者访问,那么当受害者在访问攻击者伪造的网站,同时,又在访问攻击者攻击的目标网站且没有关闭会话,那么攻击者就成功完成了CSRF攻击!攻击者可以发送请求包,比如:修改邮箱的,上传文件的等等。
跨站请求伪造csrf
weixin_45095113的博客
11-15 990
csrf
大数据网络安全——跨站请求伪造
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
11-10 504
本实验以简单PHP源码调用关键系统函数,通过WEB执行任意系统命令,有一定的DOS命令基础做起来更轻松。在这个实验中,通过CSRF漏洞在管理员不知情的情况下,诱使管理员点击你伪造好的连接,只要能通过这种方法修改成功密码即可。当CSRF针对普通用户发动攻击时,将对终端用户的数据和操作指令构成严重的威胁;当受攻击的终端用户具有管理员帐户的时候,CSRF攻击将危及整个Web应用程序。
Cookie 的跨站请求伪造CSRF)攻击
06-02
CSRF(Cross-Site Request Forgery)攻击是一种利用用户已经登录的身份来伪造用户操作请求的攻击方式。攻击者通过构造特定的请求,欺骗用户在不知情的情况下进行操作,从而达到攻击的目的。 其中,Cookie 是实现 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值