csrf攻击原理

最新推荐文章于 2024-05-09 18:45:30 发布
最新推荐文章于 2024-05-09 18:45:30 发布
阅读量97 收藏
点赞数
原文链接:https://my.oschina.net/u/3394093/blog/3070526
版权

1 csrf攻击的原理是什么? 当你取得A网站的信任后,访问B网站,在B网站含有伪装的访问A请求,这样你就带着A网站的cookie,去访问A的后台。

2 跨域不能访问cookie,为什么在B网站能携带A网站的cookie。可以把图片的crc属性编辑成一条访问A网站的请求。由于你访问的是A网站,携带A网站的cookie是理所应当的。

3 如何防范?http的请求头有个reffer属性,代表了请求的来源,就是从哪个网站发起的请求。后台校验请求是否来自A网站,如果不是则拦截请求。绝大多数的情况下是可行的,不过某些旧浏览器,如早版本的ie,据说可以修改reffer,有些其他技术貌似也可以修改新的浏览器。

4 另一种方式是token验证。在登录成功后,服务端生成一个随机token给浏览器。浏览器在提交表单的时候携带token,后台校验token与给浏览器的是否相同,如果不一样则拦截。

5 注意的是,这个token不能存储到cookie中,因为csrf攻击就是骗取你的cookie,放在cookie中工作就白费了。想到的方法是存到js的全局变量中。

 

转载于:https://my.oschina.net/u/3394093/blog/3070526

chuozhao7405
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Flask模拟实现CSRF攻击的方法
09-20
## CSRF 攻击原理 1. 用户在浏览器中打开一个合法网站(WebA),并登录成功,此时服务器会设置一个包含用户身份信息的 Cookie。 2. 用户在同一个浏览器中打开了另一个网站(WebB),这个网站攻击者控制。 3. 攻击...
CSRF漏洞原理攻击与防御(非常细)
Karka_的博客
06-07 1595
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
CSRF原理
acepanhuan的博客
02-16 795
CSRF原理
(29.1)【CSRF详解】CSRF原理、利用过程、分类、举例、工具……
04-06 9848
一个细节都不不想放过
CSRF漏洞概述及原理
m0_74131821的博客
04-03 637
CSRF 漏洞经常被用来制作蠕虫攻击、刷 SEO 流量等
网络安全之CSRF漏洞原理和实战,以及CSRF漏洞防护方法
Scalzdp的专栏
11-08 2774
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
SpringSecurity的防Csrf攻击实现代码解析
08-24
Csrf 攻击原理: 1. 攻击者构造恶意的 HTML 表单,例如:<form action="http://example.com/transfer" method="post"><input type="hidden" name="amount" value="1000"/> 2. 用户在不知情的情况下,点击该表单,...
9、CSRF原理.pdf
10-15
CSRF攻击原理 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击类型,它利用用户对网站的信任,通过欺骗用户浏览器,执行非法操作。以下是CSRF攻击原理和防御方法: CSRF攻击原理 1. 用户...
webcsrf攻击的应对之道
02-03
#### 三、CSRF攻击原理 CSRF攻击主要依赖于浏览器的自动认证机制。当用户登录某个网站后,该网站会在用户的浏览器中设置Cookie,用于保存用户的登录状态。当用户访问另一个恶意网站时,如果该恶意网站包含了指向...
什么是 CSRF 攻击原理是什么
stormjun的博客
07-13 1051
CSRF 攻击是一种跨站点请求伪造攻击攻击者通过欺骗用户执行恶意请求来攻击 Web 应用程序。攻击者通常使用社交工程学技术,如钓鱼邮件和恶意广告,来欺骗用户点击恶意链接或打开恶意页面。例如,攻击者可以在一个网站上的一个表单中注入恶意代码,当用户访问这个网站时,恶意代码会自动发送请求到另一个网站,从而执行恶意操作,如更改用户密码或转移用户资金。由于用户在访问恶意网站时已经登录了另一个网站,因此攻击者可以利用用户的身份进行攻击
CSRF原理&防御&实战
最新发布
weixin_44315471的博客
05-09 965
了解了CSRF攻击原理和防御方法,也了解到了Spring Security框架对该攻击的处理,同时也对Http的相关内容有了一些新的认知,总结来说,虽然做的是一个小的需求,但是收获挺大的!
网络安全-跨站请求伪造(CSRF)的原理攻击及防御
热门推荐
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
什么是 CSRF原理及其解决方式
m0_61869253的博客
01-01 1295
验证 HTTP Referer 字段根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。那么转账的操作一定是用户登录知乎在本站点的页面上操作的,因为可以将Referer字段限制为只允许本站点。在请求地址中添加token并验证CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。
csrf攻击原理与解决方法
hengliang_的博客
09-10 5574
0x01前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大
Csrf漏洞概述及其原理
gl620321的博客
05-01 7077
一.Csrf漏洞的概述 1.CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,C...
CSRF攻击原理及防护
diubrother的博客
03-09 2152
一、CSRF是什么 CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,也被称为 one-click attack 或者 session riding。 二、CSRF攻击原理 CSRF攻击利用网站对于用户网页浏览器的信任,挟持用户当前已登陆的Web应用程序,去执行并非用户本意的操作。 三、CSRF攻击实例 角色: 正常浏览网页的用户:User 正...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值