CSRF(跨站请求伪造)攻击及防御策略

最新推荐文章于 2024-07-16 10:30:07 发布
最新推荐文章于 2024-07-16 10:30:07 发布
阅读量850 收藏 1
点赞数
文章标签: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fgliu/article/details/131115243
版权

CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"(一键攻击)或者"Session Riding"(会话控制),是一种对网站的恶意利用。与传统的XSS攻击(跨站脚本攻击)相比,CSRF攻击更加难以防范,被认为更具危险性。CSRF攻击可以在用户不知情的情况下,以用户的名义伪造请求发送给攻击页面,从而在用户未授权的情况下执行受到权限保护的操作。

场景讲解

例如,一个用户Andy登录银行站点服务器准备进行转账操作。在Andy的用户信息有效期内,Andy被诱导查看了一个黑客恶意网站。该网站获取了Andy登录后的浏览器与银行网站之间尚未过期的Session信息。由于Andy浏览器的cookie中含有Andy银行账户的认证信息,黑客可以以Andy的合法身份伪装访问Andy的银行账户,并进行非法操作。

CSRF攻击的防御策略

  1. 验证HTTP Referer字段:验证请求来源页面的Referer字段,确保请求来自同一站点,但该方法并不可靠,因为Referer字段可能被伪造或者被浏览器禁用。

  2. 在请求地址中添加Token并验证:在每个页面中嵌入一个随机生成的Token,并将其添加到请求地址的参数中,后端服务器在接收到请求时验证Token的有效性。

  3. 在HTTP头中自定义属性并验证:在每个请求中添加自定义的HTTP头属性,例如"X-Requested-With"或"X-CSRF-Token",后端服务器在接收到请求时验证该属性的值。

以Spring Security安全框架中的CSRF防御功能来讲解:

  • disable(): 关闭Spring Security默认开启的CSRF防御功能。
  • csrfTokenRepository(CsrfTokenRepository csrfTokenRepository): 指定要使用的CsrfTokenRepository(Token令牌持久化仓库)。默认是由LazyCsrfTokenRepository包装的HttpSessionCsrfTokenRepository。
  • requireCsrfProtectionMatcher(RequestMatcher requireCsrfProtectionMatcher): 指定针对什么类型的请求应用CSRF防护功能。默认设置是忽略GET、HEAD、TRACE和OPTIONS请求,而处理并防御其他所有请求。
  1. CSRF防护功能关闭的配置,但直接关闭CSRF防御的方式简单粗暴,不太推荐使用,如果强行关闭后网站可能会面临CSRF攻击的危险,适合在开发过程中测试使用。 
@Override
protected void configure(HttpSecurity http

) throws Exception {
    http
        .csrf()
            .disable()
        // ...其他配置
}

Spring Boot整合Spring Security进行CSRF防御的示例

  1. 针对Form表单数据修改请求的CSRF Token配置: 在表单中添加携带CSRF Token信息的隐藏域: 
<form method="post">
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
    <!-- 其他表单字段 -->
    <input type="submit" value="Submit" />
</form>
  1. 针对Ajax数据修改请求的CSRF Token配置:

在页面的<head>标签中添加<meta>标签设置CSRF Token信息,并在具体的Ajax请求中获取相应的Token值,并将其添加到请求的HTTP header中进行验证。

<head>
    <meta name="_csrf" th:content="${_csrf.token}"/>
    <meta name="_csrf_header" th:content="${_csrf.headerName}"/>
    <!-- 其他头信息 -->
</head>
<body>
    <!-- 具体页面内容 -->
    <script type="text/javascript">
        $(document).ajaxSend(function(e, xhr, options{
            xhr.setRequestHeader($("meta[name='_csrf_header']").attr("content"), $("meta[name='_csrf']").attr("content"));
        });
        // 其他Ajax请求
    </script>
</body>

希望通过以上的讲解,能让大家更深入的了解CSRF(跨站请求伪造)攻击及防御策略。

本文由 mdnice 多平台发布

代码校园
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御
oscar999的专栏
07-17 1439
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF攻击过程。...
【网络安全工程师面试合集】—CSRF跨站请求伪造 攻击防御
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
12-18 4232
【渗透测试自学系列】—CSRF跨站请求伪造 攻击防御
CSRF漏洞原理攻击防御(非常细)
资深程序员,曾自学JAVA,C#,如今从业于网安行业
03-14 3361
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
CSRF 跨站攻击
lcf枫的博客
06-24 879
CSRF 跨站攻击 CSRF (Cross Site Request Forgrey).是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 原理: 站内发送请求一般需要一个登陆了的标志。一般存储在cookies 中。这个cookies会存在浏览器中,而发送请求的时候都会带上这个cookies。hacker 无法拿到这个数据。但是可以通过发送请求都会带上cookies...
跨站请求伪造解决方案
最新发布
我这个代码你能看懂吗?
07-16 526
防止CSRF攻击的方法有很多,最常见和有效的方法是使用CSRF令牌。其他方法如验证HTTP Referer头、使用SameSite Cookie属性和双重提交Cookie也可以作为辅助措施。根据具体的应用场景和需求,可以选择一种或多种方法来保护你的应用免受CSRF攻击
跨站请求伪造防御
wangyunfeis的博客
08-16 320
title: 跨站请求伪造防御 date: 2017-08-14 16:22:41 categories: 网络安全 tags: csrf --- 背景 最近安全问题越来越多,公司软件也面临出海,刚开始公司软件大部分部在公安内网,安全问题没有太多重视。最近买了安全公司的扫描软件,一扫扫出很多安全问题,其中有一个是跨站请求伪造问题。 常见的攻击模式 GET请求利用 使用GET请求
跨站请求伪造攻击的原理及防御
天外来客的博客
08-28 3795
攻击原理 跨站请求伪造(Cross Site Request Forgery,简称CSRF)能够形成的根本原因是利用了浏览器cookie自动发送的特点。如果浏览器cookie中保存了用户信息,该攻击利用了cookie共享机制获取了用户信息,因此可以正常通过系统的鉴权认证,实现非法操作。 下面以网上银行转账的例子来说明该攻击的流程。 1.小明在网上银行(bank.com)转账,浏览器cookie记...
CSRF跨站请求伪造攻击
qq_68163788的博客
02-05 1650
CSRF(Cross-Site Request Forgery)是一种网络安全攻击攻击者利用用户已经登录的身份,在用户不知情的情况下发送恶意请求,以执行某些操作或获取用户的敏感信息。攻击者通常会诱使用户访问包含恶意请求的页面,或者通过其他方式注入恶意代码,以触发CSRF攻击CSRF攻击通常利用用户在其他网站上的身份验证信息,因此攻击者可以利用这些信息来执行恶意操作,比如更改用户密码、转账、发送消息等。由于CSRF攻击利用了用户的信任和已登录的身份,因此很难被用户察觉。
跨站请求伪造CSRF攻击
一颗奋起萌发的种子的博客
03-12 285
跨站请求伪造CSRF攻击
CSRF跨站请求伪造介绍和防御方法
投资自己
05-26 4635
一、CSRF介绍CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF攻击防御,web安全的第一防线。攻击流程:                用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网...
CSRF 跨站请求伪造
bazzza的博客
12-29 389
文章目录CSRF 跨站请求伪造一、CSRF原理二、CSRF分类Get型Post型链接类型三、CSRF危害四、防御手段五、CSRF与XSS的区别CSRF本地漏洞复现一、有token复现失败的情况二、漏洞存在-csrf成功复现 CSRF 跨站请求伪造 一、CSRF原理 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的
CSRF——跨站请求伪造攻击
peanut5036的博客
12-04 1210
一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实意愿下的操作行为。
跨站请求伪造攻击CSRF
tb_youth的博客
12-31 315
CSRF: cross site request forgery(跨站请求伪造) 攻击者借助受害者Cookie欺骗服务器,让服务器以为是受害者在操作 CSRF攻击流程 一个典型的CSRF攻击有着如下的流程: 受害者登录a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了b.com。 b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。 a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是+ 受害者自己发送的
CSRF跨站请求攻击
wywywy_的博客
01-21 249
CSRF跨站请求攻击,本质就是利用正常用户作为媒介,模拟用户操作去攻击用户登录过的正常网站 原理: 1、用户登录正常网站,拿到令牌存储在cookie中 2、用户访问恶意站,恶意网站通过某种形式请求用户登录过的网站(伪造请求),强迫用户携带令牌去请求正常网站,从而进行一些恶意操作。 了解了什么是CSRF,可以从以下几个方面去防御 1-cookie中的SameSite(对于太旧版本的浏览器无效,谷歌51版本以上有效,ie6 不支持) 原理:(cookie只能在我自己的页面A(同一个域)发送给我B,不能在.
web渗透测试----14、CSRF跨站请求伪造攻击
七天
03-25 3718
文章目录一、CSRF概述二、CSRF攻击条件1、相关操作2、基于Cookie的会话处理3、没有不可预测的请求参数三、CSRF防御1、验证请求的Referer值2、CSRF Token3、验证码等验证业务过程的方式四、基于Token的CSRF1、CSRF令牌的验证取决于请求方法2、CSRF令牌的验证取决于令牌是否存在3、CSRF令牌未绑定到用户会话4、CSRF令牌绑定到非会话cookie5、CSRF令牌只是在Cookie中重复五、基于Referer的CSRF1、Referer的验证取决于请求头是否存在2、是
CSRF跨站请求伪造攻击 (转载)
迷彩狼的博客
06-03 167
原文链接:https://www.cnblogs.com/xiaxiaoxu/p/10428483.html 原作者写的很好,搬过来科普下基础知识。 CSRF跨站请求伪造攻击 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种近年来才逐渐被大众了解的网络攻击方式,又被称为One-Click Attack或Session Riding。 攻击原理 CSRF攻击的大致方式如下:某用户登录了A网站,认证信息保存在cookie中。当用户访问攻击者创建...
【web】CSRF跨站(跨域)请求伪造攻击方式
m0_45406092的博客
02-25 608
文章目录1. CSRF是什么?2. CSRF可以做什么?3. CSRF的原理3.1 举例描述原理3.1.1 示例1:3.1.2 示例2:3.1.3 示例3:4. CSRF防御4.1 服务端进行CSRF防御4.1.1 token4.1.1.1 Cookie Hashing(所有表单都包含同一个伪随机值):4.1.1.2 验证码4.1.1.3 One-Time Tokens(不同的表单包含一个不同的伪随机值)4.1.2 验证 HTTP Referer 字段4.1.3 在 HTTP 头中自定义属性并验证 1.
flask中的csrf防御机制
FreeSpider
07-17 2069
csrf概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
登录CSRF攻击与强化跨站请求伪造防御策略
这篇研究论文主要探讨了针对跨站请求伪造CSRF攻击的强化防御策略跨站请求伪造是一种常见的网络安全漏洞,攻击者能够通过伪造请求,使用户在不知情的情况下执行非预期的操作。文中提出了一种新的CSRF攻击变种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值