csrf攻击和token

最新推荐文章于 2022-07-10 15:15:17 发布
最新推荐文章于 2022-07-10 15:15:17 发布
阅读量738 收藏
点赞数
分类专栏: 计算机网络

  • 参考来源

    https://zhuanlan.zhihu.com/p/22521378

  • csrf攻击

    A网站是一个正常的直播类网站可以送礼物,送礼物的接口是 https://xxxx.com/gift/send?target=someone&giftId=ab231 (get和post都行,这里只是一个示例),在用户已登录状态下调用这个接口就可以给someone这个用户送ab231这个礼物;

    B网站可能通过非法链接、网页伪装、图片url外链等操作让用户访问这个接口(可能顺便伪装一下让用户使用用户名和密码登录,也可能很不幸用户在A网站就是登录状态),如果B网站的后端没有采取任何操作,那么用户神不知鬼不觉的就给someone送了礼物;

    但是用户可能会在送礼物历史中发现问题,假设删除礼物的接口是 https://xxxx.com/gift/deleteRecord ,接口类型为POST,请求参数为 { giftId:“ab231”},此时可以再用一个伪装网页进行自动提交、并跳转回首页(而且这个网页是什么也不显示的)

    哈哈,给你开了个玩笑,莫生气~ 
      <script>
      document.getElementById('form').submit();
      location.href = "http://xxxx.com";
  </script>

    如果删除礼物的接口也不采取任何措施的话,那么就再次攻击成功,用户根本不知道礼物已经送出去了

  • 使用token防止csrf攻击

    1. 服务端第一次收到请求时(例如登录),会生成一个随机数,在渲染请求页面时把随机数埋入页面(一般埋入 form 表单内)

       <input type="hidden" name="_csrf_token" value="xxxx">

    2. 服务端通过setSession把这个随机数传回浏览器

    3. 用户再次发送请求时,会带上这个随机数(_csrf_token参数)

    4. 服务端会进行校验,如果_csrf_token参数不存在或者检验不通过,则请求不合法

  • 注意事项

    1. token应该放在session中

      如果放在cookie中会出现当浏览器开了很多页面,而一些页面重新种入新的token时,用户会发现一些页面过了几分钟就无法访问了

captxb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF攻击原理与防御方法
墨痕诉清风的博客
02-25 4586
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
CSRF手法-Token在实际项目开发当中的实践
si1ence的博客
01-11 359
0x0 背景 以前做等级保护的时候漏扫经常扫描出来一些网站有CSRF的漏洞,经常和开发人员扯皮要怎么改怎么改每次都描述的不清楚经常感觉心累。最近看到OWASP的一本《安全测试指南第四版》的书就随手翻了二页其中谈到了关于会话管理测试的一栏目比较感兴趣就从网上随便下载了一个开源的CMS做一下黑盒测试,练练手万一失业了还能转化写写代码做做测试,过程中发现CMS对于很多表单请求都采用了Token认证做的挺好的于是写个笔记方便日后来看。 0x1 抓包分析 架起代理burpsuit开启准备大干一场,首先找到.
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
CSRF Token
weixin_33970449的博客
05-23 241
本文参考自:https://blog.csdn.net/lion19930924/article/details/50955000 目的是防御CSRF攻击Token就是令牌,最大的特点就是随机性,不可预测。 CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 c...
java ajax csrf,Ajax请求设置csrf_token
weixin_28718769的博客
03-11 533
方式1通过获取隐藏的input标签中的csrfmiddlewaretoken值,放置在data中发送。$.ajax({url: "/cookie_ajax/",type: "POST",data: {"username": "chao","password": 123456,"csrfmiddlewaretoken": $("[name = 'csrfmiddlewaretoken']").val...
【2016-08-09】{[Csrf token],[Redis]}
SilenceCarrot的专栏
08-09 1184
什么是CSRFCSRF又叫“跨站点请求伪造(Cross-Site Request Forgeries,CSRF)”,CSRF攻击是指攻击者通过设置好的陷阱,前置对已完成认证的用户进行非预期的个人信息或者设定信息等某些状态的更新,属于被动攻击。 跨站点请求伪造可能会造成一下影响:   利用已通过认证的用户权限更新设定信息等;   利用已通过认证的用户权限购买商品;   利用已通过
关于CSRFcsrftoken
猪肉炖白菜
05-08 793
CSRF 虽然利用了session验证机制的漏洞,一般使用加密token的方式防御,但是其本身和session以及JWT token没有直接联系。 描述# CSRF利用用户正常登录产生的cookie,利用钓鱼网站传给用户发送一张有内容的表单,并携带用户的正常cookies访问网站,达到将伪造的表单通过用户之手传到网站上的目的。为了避免用户提交其他网站生成的表单,网站在用户登录时签发给用户一个c...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
详解php curl带有csrf-token验证模拟提交方法
10-18
同时,该技术也体现了网站安全机制的一个重要方面——防止CSRF攻击。通过令牌机制增加了网站安全性,确保了只有携带合法token的请求才会被服务器端接受处理。对于使用PHP进行Web开发的开发者来说,理解并掌握这一...
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
本文主要介绍了网络安全领域中常见的几种攻击手段,包括CSS注入、越权访问、csrf-token窃取以及XSS跨站脚本攻击,并通过WHUCTF比赛中的一个实例进行了详细的解析和实践操作的分享。以下是对这些知识点的详细说明: ...
csrf_token配置正确,却报错 禁止访问,渲染的页面里也没有csrf的input
hao_sir
04-15 336
小编的错误在于: class posting(View): def get(self, request): template = get_template('posting.html') moods = models.Mood.objects.all() message = '如果要张贴信息,每个字段都要填1...' ...
csrf_token跨站请求伪造和保护验证
weixin_40105587的博客
03-09 2350
伪造:其实请求伪造是客户端发的 恶意网站不需要客户端的访问记录保护:(使用POST请求方式 , 本质是在请求的参数上加上随机字符串进行混淆)1 .当客户端请求服务器 服务器端根据 secret_key 生成一个随机的token  服务器会把这个token 写到返回的cookie里 键为csrftoken 其值为自动生成的token     2 在所有的POST表单中 服务器会自动帮帮我们生成一个隐...
阿里巴巴 JAVA开发手册之表单、AJAX 提交必须执行 CSRF 安全验证 思路流程及代码示例
weixin_42589778的博客
08-29 614
介绍:CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,C...
java csrf防御_前后端分离架构下CSRF防御机制
weixin_39594312的博客
03-04 517
背景1、什么是CSRF攻击?这里不再介绍CSRF,已经了解CSRF原理的同学可以直接跳到:“3、前后端分离下有何不同?”。不太了解的同学可以看这两篇对CSRF介绍比较详细的参考文章:如果来不及了解CSRF的原理,可以这么理解:有一个人发给你一个搞(mei)笑(nv)图片链接,你打开这个链接之后,便立刻收到了短信:你的银行里的钱已经转移到这个人的帐户了。2、有哪些防御方案?上面这个例子当然有点危言耸...
解密阿里巴巴加密技术: 爬虫JS逆向实践-1688 【JS混淆加密解析】
五包辣条的博客
11-04 6886
大家好,我是辣条。 这是爬虫系列的36篇,爬虫之路永无止境。 爬取目标 网站:阿里巴巴1688.com - 全球领先的采购批发平台,批发网 工具使用 开发工具:pycharm 开发环境:python3.7, Windows10 使用工具包:requests,urllib, time, re, execjs 重点学习的内容 JS混淆 正则表达式的使用 py执行js文件的应用 网页参数编码 页面分析 爬取:海量产地工厂,就上1688找工厂 .
Java 安全之:csrf攻击总结
weixin_30952103的博客
08-12 672
  最近在维护一些老项目,调试时发现请求屡屡被拒绝,仔细看了一下项目的源码,发现有csrf token校验,借这个机会把csrf攻击学习了一下,总结成文。本文主要总结什么是csrf攻击以及有哪些方法来防范,接下来会再写一篇文章,从源码中来学习一下实战中是如何防御csrf攻击的。   主要内容如下:   什么是CSRF攻击   几种常见的攻击类型   CSRF的特点   防护策略   总...
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5904
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
token及用tokencsrf
weixin_44720762的博客
06-01 8032
为什么会出现csrf:一方面,用户安全意识不足,访问不知名的url。另一方面,web没有做到准确的合法用户验证。 由此产生了token,也就是令牌。以修改个人信息页面为例。每当用户访问此页面。html脚本会生成一个随机token,相当于给用户发了一个令牌。通过url中的header一并发到后端。当是这和单一的id其实并没有多大的不同,任何人都可以通过抓包伪造。所以就需要签名。通过算法,将用户id ...
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击
jinyangjie的博客
02-14 6945
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
CSRF攻击详解与防御策略
CSRF全称为跨站请求伪造(Cross-Site Request Forgery),这是一种网络攻击手段,攻击者利用受害者的...CSRF攻击是一种利用用户已登录状态的欺骗手段,网站开发者需要通过技术手段和用户教育相结合,来有效防止这种威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值