一篇文章带你入门CSRF

最新推荐文章于 2024-07-24 11:13:53 发布
最新推荐文章于 2024-07-24 11:13:53 发布
阅读量927 收藏 15
点赞数 15
文章标签: csrf 前端 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csjjjd/article/details/138868264
版权

1.什么是CSRF

用一个形象生动的比喻就是:

你给朋友的房子留下了备用钥匙,但是有人偷偷拿走了这把钥匙,然后用这把钥匙进入了你朋友的房子并做了各种坏事。你朋友以为只有你能使用这把钥匙,所以没对任何操作产生怀疑。

在这个比喻中:

  • 你朋友的房子代表受攻击的网站。
  • 备用钥匙代表用户的认证信息(比如cookie)。
  • 代表合法用户。
  • 偷偷拿走钥匙的人代表攻击者。
  • 进入房子并做坏事代表攻击者伪装成用户进行恶意操作。

 其实就是在你不知情的情况下利用你的身份去干坏事。

官方定义:

CSRF(Cross-Site Request Forgery)漏洞是一种网络安全漏洞,攻击者可以利用该漏洞在用户不知情的情况下以其身份执行未经授权的操作。攻击者通过诱使用户访问恶意网站或点击恶意链接,来发起伪造的请求,从而利用用户当前登录的凭据执行一些操作,例如更改密码、发送资金等,而用户并不知情。

2.CSRF的前提条件

任何漏洞都有适用的前提条件:

1.CSRF必须在你与服务器正常会话的前提下才能进行攻击,毕竟CSRF是利用你的身份去干坏事,但是如果你都没有登录(没有身份)那就无从利用了。

 2.需要目标站点或系统存在可以进行数据修改或新增操作的功能

比如允许用户修改密码、更新购物地址、或添加新的后台管理账户等。

3.这些操作在提交到后台后,未提供任何身份识别或校验的参数

比如在提交修改密码的请求时,没有检查用户的身份(如没有使用CSRF令牌或其他认证机制)

一句话总结:说白了就是会话保持,系统存在进行数据修改,且没有认证

3.漏洞利用(如何攻击)

     恶意攻击者可以伪装“数据修改或新增”操作的请求,并将这个请求发送给被攻击者。如果攻击者能够通过某种手段(例如社交工程)诱使被攻击者在其cookie仍然有效的情况下点击这个伪造的请求链接,那么CSRF漏洞就会被触发。

     一旦被攻击者点击了这个链接,浏览器会自动在请求中包含用户的认证信息(如cookie),从而让服务器误以为这是合法用户发起的请求。这时,服务器会直接执行请求中的操作。例如:

  • 修改当前用户的密码:攻击者可以重设用户的密码,使用户无法访问自己的账户。
  • 新增后台管理员账户:如果当前用户是后台管理员,攻击者可以创建一个新的管理员账户,获得对系统的控制权。

 拿道CTF题目举例:

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127.0.0/')){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?>

这里很明显嘛,没有对身份的验证令牌。分析代码可知有明显的CSRF漏洞,接下来对url进行构造拿到权限:url=http://0177.0.0.1/flag.php(这里由于对127.0.0.1进行了过滤,那就直接使用进制转换一手就好)

接下来再使用DVWA靶场进行一手举例,详细说一下攻击过程:

进来以后是一个登录界面,接下来就介绍一下CSRF最为经典的改密码:

我的密码

账号是admin;密码:123456789

接下来在我的小皮面板www里面建立csrf.html文件

<img src="http://127.0.0.1/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Change=Change#" border="0" style="display:none;"/>

<h1>404<h1>

<h2>file not found.<h2>

接下来点进去就会发现我的密码被改了,log failed

4.CSRF的防御措施

    当我们审视 CSRF(跨站请求伪造)的防御措施时,最简单而有效的方法就是引入通行证令牌,通常称为 Token。

    每次用户发起请求时,系统都会为其分配一个独特的 Token。这个 Token 在用户登录后生成,并在用户退出或会话结束时销毁,因此上一次的 Token 在用户退出后就失效了。这样一来,每个请求都必须携带有效的 Token 才能被服务器接受和处理。

    当然,在这里我也必须得补充两句:token也是可以拿到的,不存在什么的绝对安全。通过XSS攻击拿到token,然后通过CSRF利用你的权限修改密码,这个就叫做XSS—CSRF攻击。

不过这已经不是单纯的CSRF攻击了,我们的token对CSRF攻击还是很管用的。

补天阁
关注
  • 15
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 3系列文章——入门篇(一)
04-02
**Spring Security 3 系列文章——入门篇(一)** Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,广泛应用于Java企业级应用和Spring Boot项目中。本篇将作为Spring Security 3的入门介绍,帮助...
SpringSecurity-从入门到精通文章的源码文件
10-25
这篇文章的源码文件将引领我们深入理解 Spring Security 的核心概念和实际应用。以下是对这些知识点的详细解析: 1. **Spring Security 框架基础**: - **组件体系**:Spring Security 由一系列组件构成,包括过滤...
PHP代码审计入门-DVWA靶场CSRF
身高两米不到的博客
11-16 1097
从零学习php,最终目的实现代码审计入门,软件采用sublime text,环境使用phpstudy搭建,数据库是navicat,需要有基本的前端基础、简单的php+mysql后端基础、渗透知识和漏洞原理,文章跟随流沙前辈学习记录,看看曾经遥不可及的代码审计能不能慢慢啃下来。好的,文章内容代码不是重点,重点是逻辑和漏洞。然后产生疑惑, &dvwaSessionGrab函数为什么要加& ,百度一番没看懂,吐槽一下:他喵的就不能用朴实无华的语言写出来,非得装杯。因为什么限制也没做。
一篇文章你了解接口测试(总结)
阿里大叔说测试的博客
04-28 657
2023最新自动化测试自学教程新手小白26天入门最详细教程,目前已有300多人通过学习这套教程入职大厂!!_哔哩哔哩_bilibili2023最新合集Python自动化测试开发框架【全栈/实战/教程】合集精华,学完年薪40W+_哔哩哔哩_bilibili​​​​​​也方便你下次能够快速查找。如有不懂还要咨询下方小卡片,博主也希望和志同道合的测试人员一起学习进步在适当的年龄,选择适当的岗位,尽量去发挥好自己的优势。我的自动化测试开发之路,一路走来都离不每个阶段的计划,因为自己喜欢规划和总结,
一篇文章入门postman接口测试
qq_48584557的博客
02-17 1593
接口测试,postmain,接口关联,接口联调,断言,Mock Service服务器,文件处理,接口测试协议,csv,
WAF是什么?一篇文章你全面了解WAF
2401_84215240的博客
07-09 728
硬件WAF适用于高流量的Web应用程序,软件WAF具有灵活性和易于配置的优点,适用于多种Web应用程序,而云WAF则适用于高可用性和高性能的Web应用程序。WAF可以通过对Web应用程序的流量进行过滤和监控,识别并阻止潜在的安全威胁。WAF可以检测Web应用程序中的各种攻击,例如SQL注入、跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)等,并采取相应的措施,例如拦截请求、阻止访问、记录事件等。您需要确保WAF能够与您的Web服务器和应用程序框架集成,并确保WAF能够对您的Web应用程序进行全面的保护。
WEB常见漏洞之CSRF(基础原理篇)
2401_84281629的博客
04-26 846
你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。由于浏览器中已经存在Gmail的临时Cookie,所以用户在iframe中对Gmail发起的这次请求会成功―—邮箱的Filter中会新创建一条规则,将所有附件的邮件都转发到攻击者的邮箱中。你登录了银行站点A,然后访问危险站点B,噢,这时你会发现你的银行账户少了1000块。
网络攻击之CSRF攻击入门
sdu_jsfeng的博客
10-31 276
一、基本概念 二、攻击原理 三、攻击类型 3.1、GET型CSRF 3.2、POST型CSRF 3.3、从后端传入JSON数据 3.4、浏览器插件漏洞攻击 四、如何预防CSRF攻击
【网络安全一篇文章你了解CTF那些事儿
2401_84215240的博客
04-26 737
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。CTF竞赛模式具体分为解题模式、攻防模式和混合模式。在解题模式下,参赛者需要通过互联网或现场网络参与解决网络安全技术挑战题目,以获取分数和时间排名;
hapi-test:Hapi js 入门
06-16
本篇文章入门Hapi js,了解其核心概念、安装与配置,以及如何创建简单的Web服务。 ### 一、Hapi js 的特点 1. **插件系统**:Hapi 通过插件机制扩展功能,如路由、认证、缓存等,使得代码结构清晰,易于维护...
高淇ajax入门
08-07
本篇文章将从基础概念、工作原理、实现方式以及常见应用场景等方面对Ajax进行全面讲解。 ### 1. 基础概念 Ajax的核心是JavaScript对象XMLHttpRequest,它允许在后台与服务器交换数据并更新部分网页内容。XML在这里...
flex+java入门
03-19
本篇文章将深入探讨Flex与Java的结合使用,帮助初学者了解如何入门这一技术领域。 Flex是一种基于Adobe Flash Player运行时的开源框架,主要用于构建具有丰富用户界面的Web应用程序。它提供了一个强大的组件库,使...
CSRF(Cross-site request forgery)
fencecat的博客
07-20 750
CSRF是一个web安全漏洞,该漏洞通过引诱用户来执行非预期的操作。该漏洞使得攻击者能够绕过同源策略,同源策略是一种用来阻止不同网站相互干扰的一种技术。 CSR跨站请求伪造,攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行点击,用户一旦点击,整个攻击也就完成了。所以CSRF攻击也被称为”one click"攻击。
DVWA靶场超(详细教程)--跨站攻击(XSS+CSRF)
weixin_60838266的博客
07-19 1129
webanquan”去掉了(替换为空),我们的输入从alert变成了alert()
pikachu 之CSRF(跨站请求伪造)get和post型
LIU6636LIU的博客
07-23 244
pikachu 之CSRF(跨站请求伪造)get和post型
网站基本布局CSS
最新发布
m0_46608027的博客
07-24 490
* 滚动条轨道样式 *//* 滚动条样式 *//* 滑块样式 */
前端面试题日常练-day97 【Less】
qq_44640575的博客
07-20 452
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化页面元素的边框样式。
Web安全:Web体系架构存在的安全问题和解决方室
程序员-张师傅
07-24 1081
Web体系架构在提供丰富功能和高效服务的同时,也面临着诸多安全问题。这些问题可能涉及数据泄露、服务中断、系统被控制等多个方面,对企业和个人造成不可估量的损失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值