web漏洞--csrf

已于 2023-03-24 15:23:43 修改
阅读量146 收藏
点赞数
分类专栏: web安全 文章标签: 网络安全 Powered by 金山文档
于 2023-03-24 15:14:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen_deinuli01/article/details/129751228
版权

csrf:跨站点请求伪造

方向:特权操作、依靠cookie的会话、确定执行所需要的参数

我认为类似钓鱼,过程:攻击者盗用了你的身份,以你的名义发送恶意请求。

原理:用户登录正常网站a,服务器发送cookie值给客户,保存在浏览器,攻击者创建恶意网站b,将恶意代码植入到网站中,b收到用户请求后,将恶意代码执行,定向到正常网站,从中获取cookie伪造信息等相关操作

方式:创建web页面,植入恶意代码,向有漏洞的程序功能搞一个跨域请求,在代码中应该包括执行操作的所有步骤,再嵌套一个自动提交的表单,用户提交后会自动添加用户cookie,正常处理请求。

防御:同源策略,csrf-token

Gachei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Web漏洞-CSRF漏洞
Ays.Ie的博客
03-10 546
该篇描述了web漏洞-CSRF漏洞
Web的基本漏洞--CSRF漏洞
尽欢的博客
05-31 1243
CSRF漏洞介绍
Web漏洞-CSRF
Eudaemonia_h的博客
02-09 295
Web漏洞-CSRF一、预备概念二、CSRF跨站请求伪造(1)原理(2)需要满足的条件(3)DVWA中的实验(4)防御CSRF 一、预备概念 Cookie:放在客户端 Cookie的两个重要属性:Domain,没有明确指明则默认为当前域名;Path,没有明确指明则默认为当前路径 Session:放在服务端 Token:服务端加密生成的令牌,保存在客户端;比cookie和session的安全性要高 https://www.cnblogs.com/sulanyuan/p/13395940.html 浏览器同源策
WEB漏洞-CSRF及SSRF
硫酸超的博客
08-18 478
CSRF 漏洞解释 解释 攻击者盗用了你用户的身份信息,以用户的名义发送恶意请求,对服务器来说这个请求是合法用户发起的,却完成了攻击者所期望的一些操作。 利用目标用户的合法身份,以目标的名义执行某些非法参数 利用条件:已经登录系统被目标网站授权,cookie值未过期,没有二次验证 演示 靶场:pikachu 点击修改,抓数据包修改 触发这个数据包就会更改数据 写一个html 被攻击者访问这个html页面,如果对方是已经被授权登录,就会触发里面的script代码,导致信息被修改 CSRF 漏洞检测,防御
web安全-6-CSRF漏洞
qq_57410330的博客
04-06 606
关于CSRF的攻击原理与防范
web漏洞-CSRF及SSRF漏洞
weixin_46425310的博客
06-17 172
web漏洞-CSRF及SSRF漏洞 CSRF:在引导用户访问的恶意网页中植入恶意请求包(例如转账请求),当用户在登录手机银行时同时访问恶意网页,就会执行该恶意请求。 如何检测有没有csrf:可以用burpsuite的CSRF poc generator模块来检测 防御方案: * tooken验证,每一个数据包包含一个tooken值,会根据tooken的值来判断执不执行数据包; * 同源策略验证 * 设置验证码 * 限制请求方式只能为post SSRF:服务器请求伪造,攻击者无法直接探测到内网主机信息,但可以
web安全---CSRF漏洞/OWASP-CSRFTester的使用
嘿嘿嘿
04-28 1205
跨站请求伪造 Cross Site Request Forgery。
Web通用漏洞--CSRF
weixin_74985952的博客
07-08 85
CSRF(Cross Site Request Forgery, 跨站请求伪造/客户端请求伪造),即通过伪造访问数据包并制作成网页的形式,使受害者访问伪造网页,同时触发伪造的请求而达到攻击效果的一种手段。用户首先登录网站A,生成可以对网站A进行操作的cookie信息等令牌身份验证等在未退出网站A时,恶意网站B通过诱骗等方式使得用户访问网站B当用户访问网站B的同时,网站B发送对网站A进行相关操作的数据包。即利用用户的身份向网站A进行相关操作。
web安全-----CSRF漏洞
qq_41683305的博客
03-04 380
简述 CSRF:Cross-site request -forgery,跨站请求伪造,是一种web攻击方式,是由于网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要访问这个网站,都会默认你已经登录。 危害 攻击者可以利用你的身份,以你的名义发送恶意请求。cerf能够做的事情包括:以你的名义发送邮件,发信息,盗取你的账号,甚至购买商品,虚拟商品转账 CSRF之POC制作 测试环境:DVWA的CSRF,low 1、利用burpsuit生成CSRF_POC 打开要测试的页面,burps
常见WEB漏洞整理-CSRF
06-11
适合由于初学者进行框架了解,和大师傅们进行回顾
第29天:WEB漏洞-CSRF及SSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
CSRF漏洞防御-01
09-15
CSRF漏洞防御是一种非常重要的安全机制,它可以防止恶意攻击者对Web应用程序的攻击。CSRF漏洞防御主要包括四种方法:验证码防御、Referer Check防御、Anti CSRF Token防御和Token泄露。 验证码防御 验证码防御是一...
29 WEB漏洞-CSRF及SSRF漏洞案例讲解-附件资源
03-05
29 WEB漏洞-CSRF及SSRF漏洞案例讲解-附件资源
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8288
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于stm32f4系列单片机,ad7606的8通道16位的同步ADC例程。.zip
最新发布
06-16
基于stm32f4系列单片机,ad7606的8通道16位的同步ADC例程。
六数码问题..._lan.zip
06-16
六数码问题..._lan
ASP.NET旅游信息管理系统 asp.net(c#)+sql.zip
06-16
ASP.NET旅游信息管理系统 asp.net(c#)+sql
ListView 中的item随意拖动.zip
06-16
ListView 中的item随意拖动.zip
DVWA-WEB漏洞
07-28
它包含了各种常见的Web应用漏洞,如SQL注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等。通过使用DVWA,安全专业人员可以模拟真实的攻击场景,并学习如何防御这些漏洞。 要使用DVWA,你需要搭建一个本地的Web...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值