CSRF-跨站请求伪造

已于 2023-10-16 10:39:34 修改
阅读量69 收藏
点赞数
文章标签: csrf 网络 安全 web安全
于 2023-05-02 09:16:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/echo__h/article/details/130461240
版权

CSRF-跨站请求伪造


一、概述
1.概述

CSRF(Cross-Site Request Forgery),指攻击者诱使用户执行他们不打算执行的操作。

攻击者利用服务器对用户的信任,欺骗受害者向服务器发起受害者不知情的恶意请求。一般场景中,攻击者会伪造一个恶意链接诱使用户点击。

2.CSRF与XSS的区别

xss是利用用户对服务器端的信任,通常是利用网页开发留下的漏洞。

CSRF则是利用服务器对用户的信任,利用用户的身份向服务器发送恶意请求


二、CSRF攻击过程

image-20230430125032213

①用户向A发送正常的登录请求

②服务器生成cookie并返回

③此时用户在退出A之前又访问了攻击者创建的网站B

④B构造访问ServerA的恶意请求

⑤就这样在用户不知情的情况下,攻击者使用用户的cookie信息向A发送了恶意请求


三、CSRF利用

token绕过

token参数置空

使用其他用户的token


四、CSRF防御

1.验证 Referer字段,拒绝来自非本站的请求

2.在请求地址中添加token验证

3.避免在URL中明文显示特定操作内容

4.不在客户端保存敏感信息

5.敏感信息修改时,需要对身份二次认证

6.禁止跨域访问

7.在响应中设置CSP(Content-Security-Policy)内容安全策略

ZeroK_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flask中的csrf防御机制
FreeSpider
07-17 2037
csrf概念 CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网的恶意利用。尽管听起来像脚本(XSS),但它与XSS非常不同,XSS利用点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网。与XSS攻击相比,CSRF攻击...
qingmvc#qingmvc#CSRF-请求伪造1
07-25
Cross-site request forgery 请求伪造常见的请求伪造:微博关注操作:get,访问一条链接就关注成功 【除非是某种不受限的api】
请求伪造(CSRF)攻击原理及预防手段
m0_47905795的博客
06-02 4860
随机化Token(CSRF Token):Token是用于验证网请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
CSRF(请求伪造)
无痕的博客
01-18 7857
csrf请求伪造介绍、csrf攻击在dvwa环境中的应用
xss和csrf详解
weixin_33737774的博客
08-29 307
XSSCross site scripting,全称“脚本”特点是不对服务器造成任何伤害,而是通过一些正常的内交互途径,例如发布评论时,提交含有js的内容文本,而服务器没有过滤掉或者转义掉这些脚本,作为内容发布到页面上,那么其他用户在访问的时候就会运行这些脚本。for example:​ // 用 <script type="text/javascript"></scrip...
CSRF(请求伪造)详解
Y22Lee的博客
04-10 1540
CSRF全称Cross-Site Request Forgery,也被称为 one-click attack 或者 session riding,即请求伪造攻击。当发现网存在CSRF漏洞时,攻击者会利用网源码,构建一个存有恶意请求的网或者是链接,引诱受害者访问,那么当受害者在访问攻击者伪造的网,同时,又在访问攻击者攻击的目标网且没有关闭会话,那么攻击者就成功完成了CSRF攻击!攻击者可以发送请求包,比如:修改邮箱的,上传文件的等等。
CSRF(请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
论文研究-请求伪造(CSRF)攻击与防范技术研究 .pdf
08-23
请求伪造(CSRF)攻击与防范技术研究,刘雅楠,马兆丰,请求伪造(CSRF)攻击作为最严重的web漏洞威胁之一被列入了开放Web应用安全项目(OWASP)十大漏洞列表。该攻击具有很大隐蔽性和危
csrf-tokenservice:无状态CSRF(请求伪造)令牌服务
04-28
无状态CSRF(请求伪造)令牌服务 :meat_on_bone: 安装 $ composer require schnittstabil/csrf-tokenservice 用法 <?php require __DIR__. '/vendor/autoload.php' ; use Schnittstabil \ Csrf \ Token...
【WEB漏洞原理】CSRF请求伪造
过期的秋刀鱼
08-28 1063
请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。
一文带你学习请求伪造(CSRF)
大河之犬的博客
11-12 1931
在web应用中,很多接口通过GET进行数据的请求和存储,如果未对来源进行校验,并且没有token保护,攻击者可以直接通过发送含有payload的链接进行诱导点击;最后,普通的参数如果也被加密或哈希,将会给数据分析工作带来很大的困扰,因为数据分析工作常常需要用到参数的明文。比如一个“论坛发帖”的操作,在正常情况下需要先登录到用户后台,或者访问有发帖功能的页面。但是验证码并非万能。正因为P3P头目前在网的应用中被广泛应用,因此在CSRF的防御中不能依赖于浏览器对第三方Cookie的拦截策略,不能心存侥幸。
请求伪造(CSRF)
来日可期的博客
08-28 1822
请求伪造是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。
请求伪造(CSRF)
jkzyx123的博客
07-14 919
目标网会误认为该请求是合法的用户行为,并执行相应的操作。恶意请求执行:受害者在浏览器中打开了恶意页面后,其中的自动执行的请求会被发送到购物网。由于浏览器会自动携带受害者的身份验证凭证,购物网会误以为这是合法的请求,并执行购买商品的操作。CSRF(Cross-Site Request Forgery)请求伪造是一种常见的网络安全攻击,它利用用户在已经登录的网上的身份验证信息来执行恶意操作。攻击者构造恶意页面:攻击者创建一个恶意网页,其中包含一个自动执行的请求,向购物网发送一个购买商品的请求
请求伪造-CSRF
weixin_45634365的博客
03-11 387
一、CSRF简介 请求伪造(Cross-Site Request Forgery),缩写为CSRF或者XSRF,也被称为“One Click Attack”或者“Session Riding”,是一种对网的恶意利用。CSRF与XSS感觉上相似,但却是完全不一样的攻击方法,XSS利用点内的信任用户,而CSRF则将自己伪装成来自受信任用户的请求,从而利用受信任的网。与XSS攻击相比,CSRF攻击往往不大流行,因此对其进行防范的资源也较少,难以防范,被认为比XSS更具危险性。 简单地说,CSRF漏洞的成
网络安全进阶学习第三课——CSRF请求伪造
p36273的博客
07-01 1488
漏洞风险存在;伪装数据操作请求的恶意链接或者页面;诱使用户主动访问或登录恶意链接,触发非法操作;
什么是请求伪造
dexunjiaqiang的博客
11-28 108
请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟脚本(XSS)相比,XSS 利用的是用户对指定网的信任,CSRF 利用的是网对用户网页浏览器的信任。1、检查Referer字段。2、添加校验token。
CSRF(Cross-Site Request Forgery) 请求伪造
Eason_LYC安全白帽子的成长博客
05-13 1503
WEB安全中CSRF漏洞攻击最为全面的知识点总结,直击核心知识点,将零散的知识汇总梳理。为深入学习CSRF打下良好基础!
请求伪造
最新发布
cgjil的博客
09-10 162
1.1。
请求伪造(csrf)
weixin_45095113的博客
11-15 973
csrf
Django中的CSRF(请求伪造)
05-21
Django中的CSRF是一种安全机制,可以防止请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值