针对 CSRF 漏洞的防范 [c#,html,webform,mvc,,app api]

最新推荐文章于 2022-04-23 18:03:54 发布
VIP文章 最新推荐文章于 2022-04-23 18:03:54 发布
阅读量6.7k 收藏 3
点赞数 1
分类专栏: B Code
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feelig/article/details/44236643
版权

最近帮别人“擦屁股”,做了全局CSRF漏洞修复,针对各种表单,作如下分享(html 为通用方法):


#############################

1.webform

这种情况只需加载一个DLL(Idunno.AntiCsrf.dll),配置web.config即可。

<?xml version="1.0"?>
<configuration>
 <configSections>
   <section name="csrfSettings"  type="Idunno.AntiCsrf.Configuration.CsrfSettings, Idunno.AntiCsrf" />   
 </configSections>
 <csrfSettings cookieName="__CSRFCOOKIE" formFieldName="form1" detectionResult="RaiseException" errorPage="" /> 
  <system.web>
//iis6
	<httpModules>
		<add name="AntiCSRF" type="Idunno.AntiCsrf.AntiCsrfModule, Idunno.AntiCsrf"/>
	</httpModules>
  //iis7
  <modules>
  <add name="AntiCSRF" type="Idunno.AntiCsrf.AntiCsrfModule, Idunno.AntiCsrf"/></modules>
  </system.web>
</configuration>
</xml>
另外一种方法,自己看链接去: http://www.cnblogs.com/luminji/archive/2012/06/08/2511384.html

#############################

2.mvc

基本思路是利用Token解决,这里只提供思路

前台页面(cshtml):@Html.AntiForgeryToken()

后台(Controllers):[ValidateAntiForgeryToken]

(详细看别人的

最低0.47元/天 解锁文章
FeelUps
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
anti-csrf, 全功能反CSRF库.zip
09-18
anti-csrf, 全功能反CSRF库 反csrf库 动机没有任何好的会话来支持CSRF保护库。 我们的意思是:CSRF令牌可以限制为以下任何或者全部:特定会话特定的HTTP URI特定的IP地址( 可选)可以存储多个CSRF令牌CSR
CSRF安全漏洞修复
最新发布
Innocence_0的博客
02-02 536
本处判断只判断接口,对页面进行放行(判断是否为页面的依据是接口的controller和请求页面的controller的继承类不同,接口的集成的类是AbstractAPIController,在每个请求中增加referer字段,如果没有这个字段则说明是伪造的请求。然后判断referer字段的域名和request的请求域名是否相同,如果不同则说明是伪造的请求。页面的集成类是 AbstractController,这两个类是自己写的。除了这些还需要拦截器配置。
anti-csrf:功能齐全的反CSRF
04-29
CSRF库 动机 没有好的会话驱动的CSRF预防库。 好的,我们的意思是: 可以将CSRF令牌限制为以下任意一项或全部: 一个特定的会议 特定的HTTP URI 特定的IP地址(可选) 可以存储多个CSRF令牌 CSRF令牌在使用一次后失效 会话数据中存储的令牌数量上限在我们的实现中,最早的被删除 警告-请勿在所有$_SESSION数据都存储在客户端的cookie中的任何项目中使用。 这将快速运行HTTP cookie的最大4KB存储空间。 在任何项目中使用 请参阅autoload.php以获取SPL自动加载器。 与Twig模板一起使用 首先,添加一个像这样的过滤器: use \ ParagonIE \ AntiCSRF \ AntiCSRF ; $ twigEnv -> addFunction ( new \ Twig_SimpleFunction (
Web应用程序常见漏洞CSRF的入侵检测与防范
03-01
互联网的安全问题一直存在,并且在可预见的未来中没有消弭的迹象,而在软件开发周期中,加入对产品安全问题的检测工作,将极大的提升对应安全问题解决的成本,对维护一个好的产品形象至关重,在竞争愈烈的网络应用产品中的生命力也将更长。本文要介绍的跨站请求伪(CSRF)在众多的攻击手段中,更具备隐蔽性,同时有更高的危害性。笔者将对其的基本特性,攻击手段,危害及防范手段,以及如何使用RationalAppScan对CSRF攻击做检测及分析做一个系统的阐述。跨站请求伪造(CSRF)的是Web应用程序一种常见的漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web2.0技术的应用的背景下,CSRF攻击完全可以在
CSRF攻击与防御(写得非常好)
热门推荐
freeking101的博客
01-28 2万+
  From:https://www.daguanren.cc/post/csrf-introduction.html From:https://blog.csdn.net/stpeace/article/details/53512283 CSRF 攻击的应对之道:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf WEB三大攻...
常见漏洞CSRF
m0_52923241的博客
04-03 195
漏洞简介 跨站请求伪造:是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。简单来说,就是攻击者盗用一个身份,利用这个身份发送恶意代码。 这种恶意的网址可以有很多种形式,藏身于网页中的许多地方。此外,攻击者也不需要控制放置恶意网址的
Web开发框架安全问题及防范规范|之CSRF跨站请求伪造
weixin_30512043的博客
12-28 506
Web站点为什么会遭受攻击?是为了恶作剧?损害企业名誉?免费浏览收费内容?盗窃用户隐私信息?获取用户账号谋取私利?总之攻击方式层出不穷,作为Web开发框架来说,帮助开发者做好解决安全问题也是刻不容缓的,本篇文章来告诉大家怎么禁止CSRF跨站请求伪造。 WEb开发框架适用范围 Web网站 攻击原理 如果B/S开发框架中不做防范,完成一次CSRF跨站请求伪造,受害者必须依次完成两个步骤: 1...
java 跨站请求伪造攻击_跨站请求伪造(CSRF
weixin_33377571的博客
02-25 728
1. 什么是跨站请求伪造(CSRF)CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者sessionRiding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信...
axios发送请求,后端报错:所需的防伪表单字段“__RequestVerificationToken”不存在
高彬的专栏
04-23 1969
后端使用.net mvc开发,前端使用axios发送post请求遇到错误:所需的防伪表单字段“__RequestVerificationToken”不存在。 看到此提示我们知道原因是:MVC的跨站攻击(CSRF)安全机制获取不到__RequestVerificationToken。但是不知道axios如何传参才能拿后端的安全机制获取到,百度各种搜索半天后扔未果,后来想办法 google,秒获答案 (谷歌真不是吹的,牛!!),虽然不是正面解决,但解决方案依然很满意 、很优秀,解决方法如下: 1、新建一个过
CSRF攻击、防止CSRF攻击原理及配置
m0_59860403的博客
04-23 1028
CSRF攻击 当用户在浏览器访问服务器,服务器给用户返回一个表单时,用户的ticket身份凭证会存放在cookie当中,如果用户在提交表单前去浏览病毒网站,病毒网站会窃取cookie信息,获得凭证,此时表单提交的目标也是已知,所以病毒网站会通过post请求模拟用户发送请求,这样用户的财产安全就会受到侵犯。 Security底层防止CSRF攻击方式 当服务器想用户返回一个表单页面的时候,会顺便发送一个隐藏域,存储着tocken,是随机生成的,每次都是不同的,当CSRF攻击时候,虽然ticket凭证信
防止CSRF攻击.txt
11-06
1. Hello World 2. 介绍 3. 关于认证技术 3.1 Cookies Hashing 3.2 HTTP来路 3.3 验证码 4. 一次性令牌 5. 最后的话
anticsrfCSRF预防库的示例用法
02-02
反抗 CSRF预防库的示例用法
保护ASP.NET应用免受CSRF攻击
12-22
CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007 年底也
csrf漏洞例子(html、css、JavaScript、php)
04-26
2、登录后点击跳转进入有漏洞的网站(这里模拟的是黑客发给受害者的地址) 3、点击跳转后是一个图片 注解:其中src的地址money.php是网站的转账接口 其中name是转给谁,money是转多少钱 一旦目标登录了网站访问了这...
hucart-含有CSRF漏洞的源码.zip
12-31
hucart-含有CSRF漏洞的源码,亲测真实有效可用,如有侵权,请联系CSDN管理员删除
CSRF漏洞的靶场实验
09-19
靶场试炼
python m3u8视频ts解密合成完整mp4
FeelUps--The more U Give,The More U Have
10-18 1万+
一、关于m3u8:(https://blog.csdn.net/baidu_34418350/article/details/64922512) m3u8是苹果公司推出一种视频播放标准,是m3u的一种,不过 编码方式是utf-8,是一种文件检索格式,将视频切割成一小段一小段的ts格式的视频文件,然后存在服务器中(现在为了减少I/o访问次数,一般存在服务器的内存中),通过m3u8解析出来路径,然后...
针对CSRF攻击可以有哪些防范措施?
07-11
为了防范CSRF(Cross-Site Request Forgery)攻击,可以采取以下几个防范措施: 1. 验证来源:在服务器端验证请求的来源是否合法。可以使用一些方法,如检查Referer头部、检查请求的Origin头部、使用自定义的Token...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值