Django之CSRF跨站请求伪造(老掉牙的钓鱼网站模拟)

最新推荐文章于 2022-10-04 18:05:30 发布
最新推荐文章于 2022-10-04 18:05:30 发布
阅读量92 收藏
点赞数
文章标签: python 前端 后端 ViewUI
原文链接:http://www.cnblogs.com/98WDJ/p/10757789.html
版权

首先这是一个测试的代码

请先在setting页面进行下面操作

注释完成后,开始模拟钓鱼网站的跨站请求伪造操作:

前端代码:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <link href="https://cdn.bootcss.com/twitter-bootstrap/3.4.1/css/bootstrap.min.css" rel="stylesheet">
    <script src="https://cdn.bootcss.com/twitter-bootstrap/3.4.1/js/bootstrap.min.js"></script>
</head>
<body>
<form action="" method="post">
    转账人:<input type="text" name="user">
    转账对象:<input type="text" name="to_sb">
    转账金额:<input type="text" name="money">
    <input type="submit" value="转账">
</form>
</body>
</html>

效果如下(很low):

视图代码如下:

def index(request):
    if request.method=='POST':
        user=request.POST.get('user')
        to_sb=request.POST.get('to_sb')
        money=request.POST.get('money')
        #打印一下转账结果
        print('%s给%s转了%s元' % (user,to_sb,money))
        return HttpResponse('转账成功')

    return render(request,'index.html')

 

如果是一个正常的网站,运行结果应该如下:

提交:

后端的结果:

这样是没有任何问题的,但是如果网站没有进行防CSRF攻击(基本不可能,现在的主流网站都有防CSRF攻击),那么钓鱼网站就可以伪装,进行跨站请求伪造

接下来是钓鱼网站的视角:

首先:我看见了下面这个特别low的页面,发现没有防CSRF(等会说防御),直接copy源码

前端代码:

 

 然后自己做一个和原网站一模一样的网站:

 

 简单的模拟一下,网址已经变了

该网址的前端页面代码:

<body>
<form action="http://127.0.0.1:8000/index/" method="post">
    转账人:<input type="text" name="user">
    转账对象:<input type="text" >
    <input type="text" name="to_sb" value="诈骗犯" style="display: none">
    转账金额:<input type="text" name="money">
    <input type="submit" value="转账">
</form>>

 

 和原网址的代码对比,其他不变,但是转账对象的name值被取消了,并且还添加了一个input框,该input框的name值,是原转账对象的name值,value值也被写死,还把该标签隐藏,这样你在转账对象中无论输入什么,你都是白给,因为name='to_sb'的这个标签的值已经被固定了,而且该表单的action函数还是原网站,所以说钓鱼网站的后端不用写post请求来之后的操作。

钓鱼网站的后端代码:

def test(request):

    return render(request, 'test.html')

也就是说,后端逻辑用的原网站的逻辑,只是简单的固定了转账人的值

运行一下:

前端钓鱼页面:

 

 当前网址还是:

转账:

跳到了原网页

看看原网站的打印输出:

 

 这样已经老掉牙的钓鱼网站的模型就完成了

 

防CSRF跨站请求伪造攻击:

1.打开注释

2.在页面中添加:

 

 这样防御就做好了(所以说是老掉牙的钓鱼攻击)

测试一下:

点击转账:

这是因为在添加了{% csrf_token %}之后,该网站的前端代码已经改变了

 

 该value是随机的,刷新一下,值就会改变,也就是说,钓鱼网站不能动态的获取,那么CSRF攻击也就没用了

 

转载于:https://www.cnblogs.com/98WDJ/p/10757789.html

db9551977
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 伪造请求_AppScan漏洞扫描之-请求伪造
weixin_33458169的博客
02-25 553
解决方案:增加一个过滤器,当请求头Referer中包含扫描里的http://bogus.referer.hcl.com时,禁止访问/******************************************************************************** @(#)CSRFilter.java 2020/4/7** Copyright 2020 emrubik...
保护您的 ASP.NET 应用程序
Lassewang的成长历程
02-03 1304
在上一期中,我讨论了构建 Web 应用程序安全性的重要性,并介绍了包括 SQL 注入和参数篡改在内的一些攻击类型,以及如何防范这些类型的攻击 (msdn.microsoft.com/magazine/hh580736)。 在本文中,我将深入探讨以下两种更常见的攻击,以帮助完善我们的应用程序保护体系:点脚本 (XSS) 和请求伪造 (CSRF)。 您可能很想知道: 只使用生产安全扫
「第四章」请求伪造(CSRF)
hacckjacking
01-22 500
「第四章」请求伪造(CSRF) 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs ...
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
CSRF请求伪造
分享学习网络的点点滴滴
08-26 259
与XSS经常混淆从信任的角度来区分XSS:利用用户对点的信任CSRF:利用点对已经身份认证的信任结合社工在身份认证会话过程中实现攻击修改账号密码、个人信息(email、收货地址)发送伪造的业务请求(网银、购物、投票)关注他人社交账号、推送博文在用户非自愿、不知情的情况下提交请求。...
Django CSRF请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
Django中如何防范CSRF请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CSRF请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
CSRF请求伪造
qq_26054303的博客
04-27 697
CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求 例如: 你登陆了一个网站http://blog.sohu.com 然后你又访问了恶意的网站www.abc.com,他构造了一个恶意的请求
CSRF01】请求伪造——漏洞基础原理及攻防
Fighting_hawk的博客
03-14 4632
1. 理解CSRF的攻击原理; 2. 重点掌握CSRF的三种攻击方式; 3. 了解CSRF的危害; 4. 重点掌握CSRF的防御手段。
请求伪造CSRF
whoim_i的博客
11-24 4813
目录原理解释CSRF分类GET型POST型CSRF漏洞挖掘使用burpsuite快速生成CSRF poc防御手段 原理解释 画个丑图来解释一波 1、 用户输入账号信息请求登录A网站。 2、 A网站验证用户信息,通过验证后返回给用户一个cookie 3、 在未退出网站A之前,在同一浏览器中请求了黑客构造的恶意网站B 4、 B网站收到用户请求后返回攻击性代码,构造访问A网站的语句 5、 浏览器收到攻...
安全测试之请求伪造(CSRF)攻击
小太阳~
01-28 6937
一、CSRF攻击的概念CSRF(Cross Site Request Forgery, 请求伪造)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击点,从而在并未授权的情况下执行在权限保护之下的操作,对用户的安全及网站的安全具有很大的危害性。一、CSRF攻击的原理如下图所示,CSRF攻击的原理比较容易理解,其中Web A是存在CSRF漏洞的网站,Web B是
web基础漏洞之CSRF请求伪造漏洞)
m0_62274649的博客
10-04 1275
一些自己的小总结,有待完善
前端安全问题——CSRF请求伪造
godming的博客
12-06 334
CSRF请求伪造(Cross—Site Request Forgery) 我们可以这样理解: 用户登录,网站A核查身份是否正确,正确就下发cookie,cookie会保存在用户的浏览器中,这就完车了一次身份认证的过程,接下来呢,用户又访问了一个网站B,网站B在给用户返回页面的时候,会携带一个引诱性的点击,这个点击往往是一个链接,这个链接一般就是网站A的API接口。当用户点击了这个链接后,这个...
白帽子讲web安全之 请求伪造CSRF
hhh
03-02 366
白帽子讲web安全之 请求伪造CSRF) (有些内容纯属个人理解,如有错误请不吝指正) CSRF简介 本质: 在用户不知道的情况下,攻击者猜解出了一个正确的url,伪造访问请求并且成功访问了此url下的内容。 浏览器的cookie策略 在攻击者进行CSRF攻击时,会遇到一个问题,即要做到成功访问某些页面是需要认证的。这就涉及了cookie。 cookie分为:Session Coo...
CSRF(请求伪造)漏洞
weixin_50464560的博客
08-25 1294
CSRF(Cross-site request forgery) 请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 漏洞危害 修改用户信息,修改密码,以你的名义发送邮件、发消息、盗取你的账号等 攻击条件 用户已登录存在CSRF漏洞的网站 用户需要被诱导打开攻击者构造的恶意网站 攻击过程 .
Django中的CSRF(请求伪造)
最新发布
05-19
CSRF(Cross-Site Request Forgery)即请求伪造,是一种常见的Web攻击方式。攻击者通过伪造用户的请求,来实现恶意操作,例如:以用户的名义发帖、发私信、盗取用户信息等。Django中提供了内置的CSRF防护机制,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值