CSRF笔记

最新推荐文章于 2024-04-14 22:43:55 发布
最新推荐文章于 2024-04-14 22:43:55 发布
阅读量276 收藏 1
点赞数
文章标签: 安全 web安全 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuyingyinger/article/details/119727389
版权

什么是CSRF?

Cross-Site Request Forgery 跨站请求伪造
示意图如下:
在这里插入图片描述
黑色代表第三方网站,绿色代表浏览器,蓝色代表用户和服务器

CSRF的危害

  • 修改账户信息
  • 利用管理员账号,上传木马文件
  • 传播蠕虫病毒
  • 和其他手段配合实现攻击,比如XSS,SQL

CSRF与XSS的区别

1、XSS是将脚本代码注入到有漏洞网站中去,攻击是由此网站发起的,而CSRF是多了一个第三方网站,但并没有权限插入任何代码。
2、对于XSS是窃取了用户cookie,但对于CSRF,是拿不到cookie的,只能对cookie加以利用。
3、XSS攻击是把脚本代码注入到被攻击的网站里面,而CSRF攻击是直接利用一个第三方网站发起对被攻击网站的请求,也就是说CSRF通常都是跨域的,并不是直接在浏览器中访问目标网站,所以CSRF实现的难度要比XSS难度大。优点在于,这个第三方网站可以是自己的网站,所以更加容易被利用。

CS

最低0.47元/天 解锁文章
小符小符谁也不服~
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
csrf笔记
xhscxj的博客
07-10 178
CSRF 跨站请求伪造,是一种挟制用户在当前已登录的web应用程序上执行非本意的操作的攻击方法。 攻击者盗用了你在某个网站的身份,以你的名义发送恶意请求CSRF漏洞原理 简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 比如修改:只知道请求来自用户的浏览器,但不知道,发起请求的链接是浏览器的哪个标签发出的。 挟持用户 其实我们不能挟持用户,但是我们可以挟持用户的浏览器发送任何的请求。 某些html标签是可以发送HTTP GET类型的请求的。例如< img>
Web安全-检测-CSRF
AG9GgG的博客
10-14 1814
背景知识 跨站域请求伪造(CSRF,Cross Site Request Forgery)是一种网络攻击方式,它在2007年曾被列为互联网20大安全隐患之一。 网站是通过cookie来识别用户的,当用户成功进行身份验证之后,浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站就会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的url,可能就会执...
CSRF是什么
最新发布
套路猿的博客
04-14 3759
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取
CSRF简介
qq_45803593的博客
05-12 4万+
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
什么是CSRF(简单易懂,有逻辑)
qq_62803993的博客
01-14 2240
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。CSRF攻击的核心是伪造请求,识别这种的攻击的重点就是判断当前操作是否伪造;
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1733
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件...
前端笔记
08-22
学习防止XSS(跨站脚本攻击)、CSRF(跨站请求伪造)、SQL注入等常见的前端安全问题,以及如何应用安全的最佳实践。 总之,【前端笔记】包含了前端开发中的核心知识点,是学习和面试的重要参考资料,通过系统学习和...
AHPU云笔记
09-30
7. **安全性考虑**:作为一个Web应用,AHPU云笔记需要处理用户登录和权限验证,可能使用了HTTPS协议保障数据传输安全,同时可能运用了CSRF(跨站请求伪造)和XSS(跨站脚本攻击)防护措施。 8. **部署与运行**:war...
javaweb笔记.pdf
11-29
* CSRF:跨站请求伪造,攻击者通过伪造用户请求来获取敏感信息。 五、JavaWeb开发性能优化 * 什么是性能优化?性能优化是指通过优化Web应用程序的代码和配置来提高其响应速度和处理能力。 * 如何进行性能优化?...
学习文档笔记
05-08
此外,网络安全和性能优化也是不容忽视的章节,比如HTTP状态码的理解、XSS和CSRF攻击的防范,以及如何通过优化代码和使用CDN提高网站速度。 最后,可能还会介绍一些开发环境的配置,如VS Code或IntelliJ IDEA的插件...
spring笔记.zip
12-21
Spring Security是Spring生态系统的安全模块,它提供了一套全面的安全解决方案,包括认证、授权、CSRF防护等,帮助开发者轻松地实现应用的安全性。 Spring Cloud则是一系列工具的集合,用于构建分布式系统,如服务...
CSRF——攻击与防御
lake2的专栏
04-02 4万+
CSRF——攻击与防御author: lake20x01 什么是CSRF攻击    CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持。    网站是通过cookie来识别用户的,当用户成功进行
CSRF是什么?
程宇寒
08-09 889
先从一个故事说起(故事纯属虚构,恶意模仿后果自负): 小谷最近遭遇电信诈骗被骗的倾家荡产,于是他想到了报复社会。在知乎上狂点800个没有帮助1000个举报后,他决定做点正事干票捞钱的生意。 「很多视频网站都有赠送礼品的功能,假如所有人都赠送我个礼物,我再转卖掉,不就发财啦」小谷寻思着。 说干就敢,经过一番折腾测试,小谷发现视频网站赠送礼物的接口是: https://xxxx.com/gift/send?target=someone&giftId=ab231 , 原来只要用户在登录状态下请求
如何判断一个HTTP请求是浏览器请求还是应用程序请求
来啦,老弟~
10-11 2万+
1、获取请求的request HttpServletRequest request=ServletActionContext.getRequest(); 2、拦截器中判断请求头 通常判断来自手机端的请求还是PC端的请求只需要判断: request.getHeader( &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;quot;content-type&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;quot; ) == nu
什么是CSRF?可能多数人都不清楚,没事,一起来了解!!!
lajos的博客
06-23 3万+
        CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。        这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户...
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
CSRF 攻击是什么?如何防范?
岁月如歌去,十年弹指间
06-14 2万+
CSRF(Cross-site request forgery)也被称为 one-click attack或者 session riding,中文全称是叫跨站请求伪造。 一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击...
从一些常见场景到CSRF漏洞利用
qwzf
03-04 2208
前言 SQL注入漏洞学的差不多了,于是又开始学习新的知识CSRF与SSRF漏洞。 CSRF漏洞
bilibiil翁凯老师c语言笔记
03-02
本人c语言初学,欢迎各位同仁批评指正!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值