CSRF(跨站请求伪造)

最新推荐文章于 2024-10-05 11:16:54 发布
最新推荐文章于 2024-10-05 11:16:54 发布
阅读量123 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feiniaotjx/article/details/120388580
版权

CSRF(跨站请求伪造)

靶机
实验地址

CSRF与XSS的区别

xss漏洞:伪造链接,用户已经登录,诱导用户点击,获取用户的cookie值,直接登录,获取用户权限,更改数据。
CSRF漏洞:伪造链接,用户已经登录,诱导用户点击,通过用户自己的权限,促发链接提交表单,更改数据。

CSRF(get)

登录并修改邮箱
在这里插入图片描述
未修改前的url
在这里插入图片描述
修改后的url为https://www.bihuoedu.com/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=hacker&email=123.com&submit=submit,说明此修改信息页面为get提交。
在这里插入图片描述

可在url里面更更改参数,将email改为123456789.com
在这里插入图片描述

更改成功
在这里插入图片描述
所以可诱导用户点击https://www.bihuoedu.com/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=hacker&email=123.com&submit=submit,就修改了用户信息。

CSRF(post)

post提交url不会发生改变,故可以引导用户点击一个链接,链接地址可以自动提交一个post表单,根据抓包的参数来构造表单,就能更改登录用户的信息。

CSRF(token)

服务器随机产生token值通过表单发送给用户,提交时通过对比session值来判断是否安全。

在这里插入图片描述

F。N 嘿嘿
关注
【项目实战】Web端常见的高风险漏洞与解决方法(CSRF跨站请求伪造 攻击)
本本本添哥
11-25 1141
CSRF(Cross-site request forgery 跨站请求伪造
CSRF跨站请求伪造
m0_73170217的博客
02-02 565
csrf漏洞的产生原理及危害、利用方法和防御手段
CSRF(Cross-site request forgery)跨站请求伪造
weixin_59496235的博客
03-26 1032
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。我们通常是给受害者发送一个链接,而在正常的情况下人们通常不会点击一个很长的、看起来就不正常的链接,这个就需要利用到社会工程学,学会利用人们的心理来达到我们的目的,诱使他们点击我们构造的链接,这种情况下我们需要把长的链接转化成一个短的链接,而网上正好可以找到很多这种在线的工具。
CSRF--跨站请求伪造
xylyaya的博客
12-31 222
CSRF攻击的全称是跨站请求伪造( cross site request forgery),是一种对网站的恶意利用。 XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。 CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等,甚至盗取你的账号。 用户访问登录正...
【web安全】——CSRF跨站请求伪造
最新发布
wxh的博客
10-05 1055
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求
CSRF——跨站请求伪造
weixin_42633359的博客
10-18 239
1、CSRF跨站请求伪造的流程 该过程存在三方:用户客户端、正常网站A、恶意攻击网站B(前提存在CSRF漏洞)   1、用户登陆了正常网站A输入了相关的验证信息。   2、正常网站将cookie写入浏览器,实现了状态保持   3、用户在未退出正常网站的情况下访问了恶意网站   4、恶意网站指定了action=“正常网站的url”,伪造请求参数。   5、用户在主观未知的情况下,再次访问了正常网...
csrf跨站请求伪造详解
m0_69962105的博客
11-24 1237
钓鱼网站搭建一个类似正规网站的页面用户点击网站链接,给某个用户打钱打钱的操作确确实实提交给了中国银行的系统,用户的钱也确实减少但是唯一不同的是,账户打钱的账户不是用户想要打钱的目标账户,变成了其他用户内部本质在钓鱼网站的页面针对对方账户,只给用户提供一个没有name属性的普通input框然后在内部隐藏一个已经写好带有name属性的input框如何避免上面的问题csrf跨域请求伪造校验网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识。
CSRF 跨站请求伪造
bazzza的博客
12-29 409
文章目录CSRF 跨站请求伪造一、CSRF原理二、CSRF分类Get型Post型链接类型三、CSRF危害四、防御手段五、CSRF与XSS的区别CSRF本地漏洞复现一、有token复现失败的情况二、漏洞存在-csrf成功复现 CSRF 跨站请求伪造 一、CSRF原理 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
CSRF跨站请求伪造
陌茗228.的博客
04-11 132
CSRF跨站请求伪造,利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 Low: 源代码: <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_
CSRF - 跨站请求伪造
weixin_46601374的博客
03-01 5716
什么是CSRF? CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 实说白了..
CSRF跨站请求伪造漏洞
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值