CSRF漏洞之验证referer

最新推荐文章于 2024-07-11 08:45:01 发布
最新推荐文章于 2024-07-11 08:45:01 发布
阅读量1.2k 收藏
点赞数
文章标签: java c#
原文链接:https://my.oschina.net/liuxundemo/blog/515846
版权 
public class CSRFUtil {
    public static boolean validCsrfAddress(String local,String referer) {
        String[] whiteList = { local, "xx.com"};
        if (org.apache.commons.lang3.StringUtils.isEmpty(referer)) {
            return false;
        }
        if (org.apache.commons.lang3.StringUtils.isEmpty(local)) {
            return false;
        }
        if (referer.contains("?")) {
            referer = referer.substring(0, referer.indexOf("?"));
        }
        URI referUri = null;
        try {
            referUri = new URI(referer);
        } catch (URISyntaxException e) {
            return false;
        }
        String domain = referUri.getHost().toLowerCase();

        for (int i = 0; i < whiteList.length; i++) {
            if (whiteList[i].toLowerCase().equals(domain)) {
                return true;
            }
        }
        return false;
    }
}


转载于:https://my.oschina.net/liuxundemo/blog/515846

chuanqian9152
关注
hucart-含有CSRF漏洞的源码.zip
12-31
CSRF漏洞通常发生在Web应用程序中,这些应用未对请求进行足够的验证。当用户登录网站后,攻击者可以通过创建一个恶意链接或表单,诱使用户点击或访问,使得浏览器发送伪造的HTTP请求到目标服务器。由于请求是用户的...
Referer校验
热门推荐
luzhangtong的博客
08-24 1万+
Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求头中的   查看一个request信息: GET /adjs.php?n=348893119&amp;what=zone:382&amp;charset=utf-8&amp;exclude=,&amp;referer=http%3A//topic.csdn.net/u/20...
http referer 验证防御方法_CSRF漏洞的原理与防御
weixin_39713686的博客
11-29 2213
本文转载于SegmentFault社区作者:MshuCSRF 全称:Cross Site Request Forgery,译:跨站请求伪造场景点击一个链接之后发现:账号被盗,钱被转走,或者莫名发表某些评论等一切自己不知情的操作。CSRF是什么csrf 是一个可以发送http请求的脚本。可以伪装受害者向网站发送请求,达到修改网站数据的目的。原理当你在浏览器上登录某网站后,cookie会保存...
【网络安全渗透测试零基础入门必知必会】之CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除5
最新发布
Libra1313的博客
07-11 371
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段文件CSRF漏洞概述和原理第5篇。本文主要讲解CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除。
referer认证与请求头与请求拦截
xyz_road的博客
09-28 583
但是,如果是iframe嵌套窗口的时候:本地开发是子窗口,这时要拿到顶级窗口:也就是父窗口,的window.locaiton对像的地址url、不好意思,除非网页地址本就没有参数,否则无法做到。浏览器也根据是否同源做不一样的安全限制,并不能保证所有接口的referer都是完整的url,在非同源的情况下可能只发送网页的源。为满足所有的接口都加上请求头,就需要做实例的请求拦截与axios的直接拦截,经过本人实验,这两个拦截不冲突,2、有的请求使用了封装的axios实例的方法,而有的接口是直接调用了axios。
CSRF 原理与防御案例分析
weixin_43639741的博客
04-22 765
CSRF,也称 XSRF,即跨站请求伪造攻击,与 XSS 相似,但与 XSS 相比更难防范,是一种广泛存在于网站中的安全漏洞,经常与 XSS 一起配合攻击。 CSRF 原理 攻击者通过盗用用户身份悄悄发送一个请求,或执行某些恶意操作。 CSRF 漏洞产生的主要原因: 1、请求所有的参数均可确定 2、请求的审核不严格,如:只验证了 Cookie 关于 CSRF 的执行过程,这里引用自 hyddd 大...
安全01-后台增加Referer校验防范CSRF跨站请求伪造
windows_apple的博客
12-01 3477
CSRF,中文名字,跨站请求伪造。攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。 防范方案: 1、验证HTTP Referer字段。 2、请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证) 3、将token加入http头属性中,避免了token出现在浏览器中,被泄露。 Referer验证方案: 根据HTTP协议,在HTTP头部中有一个Re
Web安全系列之CSRF攻击
Button12138的博客
12-02 1162
csrf指的是攻击者携带网站cookie,冒充用户请求的攻击行为。
csrf漏洞.rar
09-15
- 验证Referer头:服务器检查请求的来源是否来自自己的域名,但这种方法并不完全可靠,因为Referer头可以被篡改或禁用。 - Token验证:在表单提交时添加一个随机的、一次性的Token,并在服务器端验证。这是最常用且...
Day56:WEB攻防-CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
qq_61553520的博客
03-30 749
小迪安全-Day56:WEB攻防-CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
CSRF漏洞详解(跨站请求伪造)
m0_52293697的博客
11-21 622
CSRF漏洞原理 跨站请求伪造 DVWA靶场 挖洞思路
安全开发之CSRF(跨域请求伪造)
XZ85201的博客
05-20 1330
概念:CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。
服务器端修改referer,CSRF绕过后端Referer校验
weixin_31640639的博客
08-12 1488
CSRF绕过后端Referer校验分正常情况和不正常的情况,我们这里主要讨论开发在写校验referer程序时,不正常的情况下怎么进行绕过。正常情况正常的情况指服务器端校验Referer的代码没毛病,那么意味着前端是无法绕过的。我之前考虑过的方案:JS修改Referer,失败;让用户点击第三方网站,但是浏览器就是使用第三方网站的referer,失败;不正常的情况不正常的情况指服务器端校验Refere...
CSRF漏洞
woo233的博客
08-03 243
跨站请求伪造(Cross-Site Request Forgery)实现流程:在登录服务器时,有访问了第三方的网站,第三方网站中有恶意代码(发起对目标服务器的端口的调用)的网页,浏览器执行了其中的代码。
CSRF实战案例—绕过referer值验证
内心不种满鲜花就会长满杂草
12-21 2993
在一个添加管理员的界面引起了我的注意
CSRF简单理解---HTTP Referer字段验证(Java实现)
澪月
02-08 1万+
CSRF攻击简单来说就是: 1.你可以通过A网站发送请求“转100块给小明”。 2.然后你碰巧又上了X网站,X的某链接藏着一条操作”转100快给小芳”。 3.当你点击X网站的某个链接时,会利用你在A网站的session信息,发送请求”转100快给小芳”。 所以CSRF防御的重点就是怎么判断发送请求的是不是原网站。 referer的验证原理简单来说就是: 比对HTTP请求发送的网站(re...
http referer 验证防御方法_技术干货 | CSRF攻击原理以及防御
weixin_39559333的博客
11-29 1847
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不...
CSRF漏洞及其验证方法
04-03
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种安全漏洞,攻击者通过伪造用户的请求,将不合法的请求发送到目标网站,从而达到攻击的目的。攻击者通常会在被攻击网站中嵌入恶意代码,当用户访问该网站时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值