CSRF跨站伪造请求

最新推荐文章于 2021-01-12 23:17:34 发布
最新推荐文章于 2021-01-12 23:17:34 发布
阅读量337 收藏 1
点赞数
文章标签: CSRF 跨站伪造请求
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guodejie/article/details/80768902
版权

什么是CSRF跨站伪造请求:

用户登录安全网站A成功后,然后在没有退出登录的情况下,又登录了不安全网站B,点击一些链接,因为是用的同一浏览器,

不安全网站B可以通过浏览器伪装成该用户身份向网站A发出请求做一些非法操作(隐藏在链接里面)。

网站A:

@app.route('/transfer', methods=["POST", "GET"])
    def transfer():
        # 从cookie中取到用户名
        username = request.cookies.get('username', None)
        # 如果没有取到,代表没有登录
        if not username:
            return redirect(url_for('index'))

        if request.method == "POST":
            to_account = request.form.get("to_account")
            money = request.form.get("money")           
            return '转账 %s 元到 %s 成功' % (money, to_account)

        return render_template('temp_transfer.html')

网站A需要获取to_account和money这两个值就能转账。

网站B

@app.route('/')
def index():
    return render_template('temp_index.html')

<h1 style="background: red">网站B</h1>
<form method="post" action="http://127.0.0.1:9000/transfer">
    <input type="" name="to_account" value="999999">
    <input type="" name="money" value="190000">
    <input type="submit" value="点击领取优惠券">
</form>
网站B里面直接写好了to_account和money这两个值分别是999999,190000,和提供了网站A的网址和转账接口。但这些都是隐藏的,用户只能看到点击领取优惠券,当点击后,会自动跳转到上面的网址和转账接口,并且把999999,190000都填到对应位置。因为是通过你的浏览器访问,对于同一台电脑,同一浏览器的第二次访问,会自带上次访问的cookie,网站A会认为是安全访问,而识别不到是第三方的攻击请求,从而通过访问。


csdn-gdj
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用csrf执行非法参数进行越权操作
weixin_43239236的博客
01-24 420
使用pikachu平台操作 详细操作和说明见https://www.cnblogs.com/dogecheng/p/11583412.html 大概思路分两种: 1.GET中带有参数进行参数修改的尝试,然后去GET请求执行 http://192.168.21.2/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=18656565545&add=uua&email=lili%40pikachu.com&su
csrf(csrf请求非法是什么意思)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-25 297
CSRF具体操作我想在Windows7安装一个SQLServer 这个按正常步骤安装就可以了啊,不知道你困惑在哪里。。。。 CSRF保护过滤器有什么功?CSRF保护过滤器有什么功能 安全漏洞跨站请求伪造(CSRF)Tomcatservlet容器的最新版本CSRF保护过滤器,它提供很多保护来防止CSRF攻击 X...
CSRF跨站请求伪造)解决方案
momDIY的博客
11-30 2016
理解CSRF(跨站请求伪造) 原文出处Understanding CSRF 对于Express团队的csrf模块和csurf模块的加密函数的用法我们经常有一些在意。 这些在意是莫须有的,因为他们不了解CSRF token是如何工作的。 一个CSRF攻击是如何工作的?在他们的钓鱼站点,攻击者可以通过创建一个AJAX按钮或者表
常见漏洞总结---CSRF(跨站伪造请求)
qq_41976183的博客
08-27 325
1、定义(服务器信任用户) 跨站伪造请求,是指利用受害者尚未失效的身份认证消息(cookie,会话等),诱骗其点击恶意链接或访问包含攻击代码的页面,在受害人不知情的情况下以受害者向(身份认证信息所对应的)服务器发送请求,从而完成非法操作。 2、原理: 网站A存在csrf漏洞。 攻击者:B 受害者:A/C CSRF属于业务逻辑漏洞,在服务器看来,所有的请求都是合法正常的。而XSS和SQL注入都属于...
CSRF(跨站请求伪造)
good good study
01-12 3433
目录 CSRF 原理及过程 概述 关键点 通过银行转账实验理解CSRF 防御 CSRF (Cross-Site Request Forgery) CSRF是一种欺骗受害者提交恶意请求的攻击,攻击者盗用你的身份,向服务器发送请求 原理及过程 小明用浏览器访问受信任网站A,并输入用户名及密码进行登录; 小明的用户信息验证通过后,网站A会返回一个cookie信息给浏览器。 小明没有退出浏览器前,用同一浏览器访问了假网站B B站收到请求后返回攻击性代码,要求访问..
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
实习面试篇--web安全之CSRF(跨站请求伪造
Xiaochunchunu的博客
09-22 341
实习面试篇–web安全之CSFR(跨站请求伪造) ** 知识储备: ** cookie:Cookie 是浏览器访问服务器后,服务器传给浏览器的一段数据。(存储在用户本地的) 作用: 1.识别身份 2.记录历史,以后每次访问该网站都带cookie token生成流程 用户访问某个表单页面。 服务端生成一个Token,放在用户的Session中,或者浏览器的Cookie中。 在页面表单附带上Token参数。 用户提交请求后,服务端验证表单中的Token是否与用户Session(或Cookies)中的Token
CSRF(跨站请求伪造)学习笔记
devotedwife的博客
11-08 535
CSRF(Cross-site request forgery)跨站请求伪造学习笔记
跨站请求伪造.zip
05-28
压缩包内分为笔记部分和环境搭建部分: 笔记部分:CSRF介绍、Cookie机制、检测CSRF漏洞存在、CSRF防御 环境搭建部分:bank文件夹中存放笔记中网站搭建源码、构造的get、post页面源码。 解压密码:456.com
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1735
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件...
【漏洞学习——CSRF】bilibili某处csrf漏洞
Fly_鹏程万里
02-22 3193
漏洞细节 此漏洞可以针对up主,关闭下列三项弹幕权限,使其发稿视频没有弹幕! csrf位置在用户中心--&gt;过滤管理中 http://member.bilibili.com/#gl_manage poc &lt;html&gt; &lt;head&gt; &lt;meta http-equiv="Content-Type" content="text/html; ch...
网络安全-跨站请求伪造CSRF)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
CSRF跨站请求伪造介绍和防御方法
投资自己
05-26 4622
一、CSRF介绍CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF攻击与防御,web安全的第一防线。攻击流程:                用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网...
CSRF跨站请求伪造漏洞修复方案
weixin_42728957的博客
04-16 6848
CSRF(全称Cross-site request forgery)即跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或包含攻击代码的页面,在受害者不知情的情况下以受害者的身份(身份认证所对应的信息)向服务器发送请求,从而完成非法操作(如转账、改密等)。由于发生CSRF攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信息被迫修改,更严重者引发蠕...
DVWA的使用2–CSRF跨站请求伪造
StoriesWine
03-27 1677
DVWA的使用2–CSRF跨站请求伪造CSRF(Cross-site request forgery)跨站请求伪造,迫使用户在通过验证后在web应用中执行不必要的操作,通过伪装来自受信任用户的请求来利用受信任的网站。 1).low级别 源码: 通过对源代码进行分析,我们可以看到源代码中只对两次输入的密码是否相同进行了判断,其他操作都没有进行防御,所以我们只需要用户在cookie...
CSRF 跨站请求伪造的解决方法
Dai_yinian6的博客
06-27 399
CSRF包含请求体的请求都需要开启CSRFfrom flask_wtf.csrf import CSRFProtect ... app.config.from_object(Config) ... CSRFProtect(app) CSRFProtect只做验证工作,cookie中的 csrf_token 和表单中的 csrf_token 需要我们自己实现理清思路目前登录注册发起的 POST 请求...
CSRF跨站请求伪造漏洞
最新发布
12-06
1. 在表单中添加随机的token,防止攻击者伪造请求。 2. 检查Referer头部,确保请求来源于合法的网站。 3. 在cookie中添加SameSite属性,限制cookie只能在同站点请求中发送,从而防止跨站请求伪造攻击。 --相关问题-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值