CSRF 漏洞解释,原理以及防御等

最新推荐文章于 2024-07-28 21:35:23 发布
最新推荐文章于 2024-07-28 21:35:23 发布
阅读量2.1k 收藏 3
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoweicsdn2017/article/details/120719065
版权

CSRF 漏洞解释,原理以及防御等

漏洞解释
CSRF:跨站请求伪造(Cross-site-request-forgery)本质是攻击者伪造了合法的身份(用户点击),对系统进行访问

漏洞原理
原理:在开发程序的时候,未对相关页面进行token和referer验证,从而导致了 攻击者可以构造自己的url地址来欺骗目标用户点击

漏洞防御
#防御方案
1、验证Http referer字段
2、在请求地址中添加token并验证
3、设置验证码
4、当用户发送重要的请求时需要输入原始密码
5、限制请求方式只能为 POST

备注:referer—(管理员在编辑文章,黑客发来恶意的修改密码链接,因为修改密码页面管理员并没有在操作,所以攻击失败)

CSRF攻击分类:
① 站内
② 站外

CSRF的漏洞检测:使用Burp抓取一个正常的数据包,去掉referer字段后,在重新提交,如果该提交还有效,那么 基本上可以确定存在CSRF漏洞

CSRF漏洞检测工具:
1,Burp
2,CSRFTester

CSRF漏洞挖掘方法?
1,添加用户的地方
2,修改密码的地方
3,数据库备份的地方
4,有数据交易,支付的地方等
5,使用扫描器

guoweicsdn2017
关注
CSRF漏洞
qq_39416206的博客
03-14 805
知识点: CSRF原理CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。 这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 其实可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事
CSRF漏洞——原理防御
cldimd的博客
03-21 6953
CSRF漏洞原理 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,校验表单token或者http请求头中的r...
csrf漏洞原理
weixin_48776804的博客
02-16 472
pikachu中csrf漏洞
CSRF(跨站请求伪造)漏洞介绍
最新发布
weixin_56233402的博客
07-28 901
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理搞清楚导致的。
浅谈CSRF漏洞
kkfd1002的博客
04-21 353
正文:CSRF与xss和像,但是两个是完全不一样的东西。xss攻击(跨站脚本攻击)储存型的XSS由攻击者和受害者一同完成。xss详细介绍:点我跳转 CSRF(跨站脚本伪造)完全由受害者完成。攻击者不参与其中。CSRF详细介绍:点我跳转 CSRF原理: 银行转账的数据包:http://jianse.com/zhuanzhang.php?name=lu&email=xxx@qq.com&amp...
csrf漏洞
niqiu320的博客
04-22 217
什么是csrf? csrf跨站请求伪造,也被称为one-click attack 或者 session riding ,通常 缩写为CSRF或者XSRF,是一种挟持用户在当前已登录的WEB应用程序上执行 非本意的操作的攻击方法。 跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。最大的区别就是CSRF有盗取用户的cookie,而是直接的利用了浏览器存储的cookie让用户去执行某个动作。 例如:http://www.xx.com/pay.php?u
CSRF漏洞原理防御方式
dreamthe的博客
09-17 2072
CSRF漏洞原理 CSRF被叫做跨站请求伪造,该怎么理解这句话呢,比如 用户a在浏览器登录了账号,当他发送登录请求时候,服务器验证了账号密码,会返回给一个身份信息存放在cookie里面,浏览器保存,那么以后用户访问服务器带着这个cookie就行了。那么怎么产生攻击的呢,是用户在已经登录的状态下,访问了一个恶意的网站,带浏览器保存的cookie值向服务器发送了恶意请求,服务器会以为是用户的请求,其实这是用户不知情的请求。垮了两个站,一个是用户登录实际网站,一个屙屎攻击者恶意构造网站,所以称作跨站请求伪造。
XSS、CSRF、SSRF漏洞原理以及防御方式
Love_Naive的博客
09-03 5371
这里写目录标题XSSXSS攻击原理:XSS的防范措施主要有三个:编码、过滤、校正CSRFCSRF攻击攻击原理及过程如下:CSRF攻击的防范措施:SSRFSSRF漏洞攻击原理以及方式SSRF漏洞攻击的防范措施XMLXSS、CSRF、SSRF的区别XSS、CSRF的区别 XSS XSS(Cross Site Scripting):跨域脚本攻击。 XSS攻击原理: 不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 X
CSRF漏洞概述及原理
m0_74131821的博客
04-03 646
CSRF 漏洞经常被用来制作蠕虫攻击、刷 SEO 流量等
csrf和ssrf漏洞原理是?如何防御和利用csrf和ssrf漏洞
DXfighting_的博客
04-14 957
Csrf原理CSRF是一种依赖web浏览器的、被混淆过的代理人攻击。 防御csrf漏洞: 验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header Ssrf漏洞原理: 很多web应用都提供了从其他的服务器上获取数据的功能。使用指定的URL,web应用便可以获取图片,下载文件,读取文件内容等。SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般情况下, SSRF攻击的目标是外网无法访问的内部系统,黑客可以利用S
深度解析:CSRF漏洞原理防御策略
CSRF漏洞,全称为Cross-Site Request Forgery,是一种常见的Web安全问题,常常被列入OWASP十大最...CSRF漏洞Web开发中必须重视的问题,开发人员需要采取多种防御措施,并时刻关注技术更新以应对不断演变的攻击手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值