CSRF攻击(跨站请求伪造)和防御

最新推荐文章于 2024-04-19 14:25:27 发布
最新推荐文章于 2024-04-19 14:25:27 发布
阅读量766 收藏 1
点赞数
分类专栏: CTF攻防 CSRF攻击与防御 文章标签: CSRF攻击与防御

CSRF 简介 

CSRF,全名 Cross Site Request Forgery,跨站请求伪造。很容易将它与 XSS 混淆,对于 CSRF,其两个关键点是跨站点的请求与请求的伪造,由于目标站无 token 或 referer 防御,导致用户的敏感操作的每一个参数都可以被攻击者获知,攻击者即可以伪造一个完全一样的请求以用户的身份达到恶意目的。

CSRF 类型 

按请求类型,可分为 GET 型和 POST 型。

按攻击方式,可分为 HTML CSRF、JSON HiJacking、Flash CSRF 等。

HTML CSRF

利用 HTML 元素发出 CSRF 请求,这是最常见的 CSRF 攻击。

HTML 中能设置 src/href 等链接地址的标签都可以发起一个 GET 请求,如:

<link href="">
<img src="">
<img lowsrc="">
<img dynsrc="">
<meta http-equiv="refresh" content="0; url=">
<iframe src="">
<frame src="">
<script src=""></script>
<bgsound src=""></bgsound>
<embed src=""></bgsound>
<video src=""></video>
<audio src=""></audio>
<a href=""></a>
<table background=""></table>
......

还有 CSS 样式中的:

@import ""
background:url("")
......

也可使用表单来对 POST 型的请求进行伪造。

<form action="http://www.a.com/register" id="register" method="post">
  <input type=text name="username" value="" />
  <input type=password name="password" value="" />
</form>
<script>
  var f = document.getElementById("register");
  f.inputs[0].value = "test";
  f.inputs[1].value = "passwd";
  f.submit();
</script>

Flash CSRF

Flash 也有各种方式可以发起网络请求,包括 POST。

import flash.net.URLRequest;
import flash.system.Security;
var url = new URLRequest("http://target/page");
var param = new URLVariables();
param = "test=123";
url.method = "POST";
url.data = param;
sendToURL(url);
stop();

Flash 中还可以使用 getURLloadVars 等方式发起请求。

req = new LoadVars();
req.addRequestHeader("foo", "bar");
req.send("http://target/page?v1=123&v2=222", "_blank", "GET");

CSRF 的防御 

验证码 

验证码强制用户必须与应用进行交互,才能完成最终请求。

Referer Check

检查请求是否来自合法的源。但服务器并非什么时候都能取得 Referer。

Token

CSRF 能够攻击成功的本质原因是重要操作的所有参数都可以被攻击者猜测得到。

保持原参数不变,新增一个参数 Token,值是随机的,在实际应用中,Token 可以放在用户的 Session 中,或浏览器的 Cookies 中。

Token 一定要足够随机。此外,Token 的目的不是为了防止重复提交,所以为了使用方便,可以允许在一个用户的有效生命周期内,在 Token 消耗掉之前都使用同一个 Token,但如果用户已经提交了表单,则这个 Token 已经消耗掉,应该重新生成 Token。

Token 还应注意其保密性,如果 Token 出现在 URL 中,则可能会通过 Referer 泄露,应尽量把 Token 放在表单中,把敏感操作由 GET 改为 POST,以表单或 AJAX 的形式提交,避免 Token 泄露。

本文来源:https://ctf-wiki.github.io/ctf-wiki/web/csrf/

han_code
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
保护您的 ASP.NET 应用程序
Lassewang的成长历程
02-03 1303
在上一期中,我讨论了构建 Web 应用程序安全性的重要性,并介绍了包括 SQL 注入和参数篡改在内的一些攻击类型,以及如何防范这些类型的攻击 (msdn.microsoft.com/magazine/hh580736)。 在本文中,我将深入探讨以下两种更常见的攻击,以帮助完善我们的应用程序保护体系:点脚本 (XSS) 和请求伪造 (CSRF)。 您可能很想知道: 只使用生产安全扫
CSRF请求伪造
qq_26054303的博客
04-27 695
CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求 例如: 你登陆了一个网http://blog.sohu.com 然后你又访问了恶意的网www.abc.com,他构造了一个恶意的请求
CSRF 请求伪造
最新发布
m0_69043895的博客
04-19 974
CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网的恶意利用。尽管听起来像脚本(),但它与XSS非常不同,XSS利用点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
web基础漏洞之CSRF请求伪造漏洞)
m0_62274649的博客
10-04 1268
一些自己的小总结,有待完善
请求伪造CSRF
whoim_i的博客
11-24 4786
目录原理解释CSRF分类GET型POST型CSRF漏洞挖掘使用burpsuite快速生成CSRF poc防御手段 原理解释 画个丑图来解释一波 1、 用户输入账号信息请求登录A网。 2、 A网验证用户信息,通过验证后返回给用户一个cookie 3、 在未退出网A之前,在同一浏览器中请求了黑客构造的恶意网B 4、 B网收到用户请求后返回攻击性代码,构造访问A网的语句 5、 浏览器收到攻...
CSRF请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。...在请求伪造CSRF攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网会话的完整性。而浏览器的安全策略是允许当前页面
SpringSecurity框架下实现CSRF攻击防御的方法
08-25
CSRF(Cross-Site Request Forgery,请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,实现CSRF攻击防御是非常重要的。本文将详细介绍...
攻击(XSS+CSRF).docx
01-05
请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
php漏洞之请求伪造与防止伪造方法
10-26
请求伪造(Cross-Site Request Forgery,简称CSRF)是一种网络安全漏洞,攻击者通过诱导用户在未经许可的情况下执行非预期的操作,从而达到恶意目的。在PHP开发中,了解并防止这种攻击至关重要。 首先,我们...
java 伪造请求_AppScan漏洞扫描之-请求伪造
weixin_33458169的博客
02-25 541
解决方案:增加一个过滤器,当请求头Referer中包含扫描里的http://bogus.referer.hcl.com时,禁止访问/******************************************************************************** @(#)CSRFilter.java 2020/4/7** Copyright 2020 emrubik...
csrf请求伪造简单示例
10-18
一个简单的csrf请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
请求伪造-CSRF防护方法
03-12
请求伪造-CSRF防护方法请求伪造-CSRF防护方法
CSRF(请求伪造)漏洞
weixin_50464560的博客
08-25 1288
CSRF(Cross-site request forgery) 请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 漏洞危害 修改用户信息,修改密码,以你的名义发送邮件、发消息、盗取你的账号等 攻击条件 用户已登录存在CSRF漏洞的网 用户需要被诱导打开攻击者构造的恶意网 攻击过程 .
Web安全之SQL注入攻击技巧与防范
每天积累一点,一年后你会发现,自己变化很大
02-05 1350
文章目录 1. Web安全简史2. 常见攻击方式3. SQL注入常见攻击技巧 3.1. 实例一3.2. 实例二 4. 如何确定SQL注入漏洞 4.1. 1、错误提示4.2. 2、盲注 5. 如何防御SQL注入 5.1. 1、检查变量数据类型和格式5.2. 2、过滤特殊符号5.3. 3、绑定变量,使用预编译语句 6. 数据库信息加密安全7. 小结 Web安全简史
请求伪造CSRF)——常见网攻击手段原理与防御
guugle2010的专栏
04-10 1029
请求伪造CSRF)原理与防御 Web的隐式身份验证机制只能保证一个请求是来自于某个用户的浏览器,但是无法保证请求是用户批准的。
校验Referer头,防范CSRF(请求伪造)攻击的拦截器
knight_black_bob的专栏
12-29 4091
com.opensymphony.xwork2.ActionInvocation; import com.opensymphony.xwork2.interceptor.AbstractInterceptor; import com.trace.web.utils.Constants; /** * 对管理员操作,校验Referer头,防范CSRF(请求伪造)攻击的拦截器 * @author admin */ public class AuthInterceptor extend
解决脚本注入,伪造用户请求,sql注入等http安全漏洞
weixin_34304013的博客
06-08 424
脚本就是在url上带上恶意的js关键字然后脚本注入了,伪造用户请求就是没有经过登陆,用超链接或者直接url上敲地址进入系统,类似于sql注入这些都是安全漏洞。 sql注入 1、参数化查询预处理,如java使用PreparedStatement()处理变量。 2、转义敏感字符及字符串(SQL的敏感字符包括“exec”,”xp_”,”sp_”,”declare”,...
ctf xss利用_Csrf+Xss组合拳
weixin_39865952的博客
12-12 338
各位大师傅,第一次在合天发文章,请多多关照今年年初的疫情确实有点突然,打乱了上半年的所有计划(本来是校内大佬带我拿奖的时刻,没了,学长毕业了,就剩下我这个小垃圾带着下一届去搞ctf了,难啊,难啊)0x01这个是我疫情时候在线上网课的平台,本着对信息安全做贡献的目的下去做的这个渗透工作(咳咳,这个平台有个签到,每次签到我都在与大脑作斗争,最后争不过大脑,选择了睡觉,最后旷课太多,不搞要挂...
如何防御csrf请求伪造
02-17
CSRF(Cross-Site Request Forgery,请求伪造)是一种常见的Web应用程序安全漏洞,攻击者利用此漏洞在未经授权的情况下对用户进行身份验证和提交表单等操作。 以下是防御CSRF攻击的一些常见措施: 1. 随机化Token:应用程序可以在表单中嵌入一个随机的令牌(Token),这个Token的值是动态生成的,每次请求时都会不同,这样攻击者就无法通过构造一个伪造的表单来通过验证。 2. 检查Referer:在服务器端进行验证,检查HTTP请求的Referer头部信息,以确保请求是来自正确的来源。但是,这种方法也有其限制,因为一些浏览器和代理服务器不会发送Referer头部信息。 3. Cookie设置:限制cookie的访问,以确保cookie不能在不同的域名或子域名下被访问。例如,可以使用HttpOnly标志禁止JavaScript访问cookie,或使用SameSite标志限制cookie只能由同一请求使用。 4. 双重确认:对于关键操作(例如修改密码或删除帐户),可以要求用户在执行操作前进行额外的确认,例如输入密码或提供双重身份验证(如OTP)。 5. 输入验证:应用程序应该对输入进行验证和过滤,以防止攻击者利用恶意数据进行攻击。例如,应该限制输入长度、验证输入格式,过滤特殊字符等。 这些措施并不是绝对的,但是它们可以帮助减少CSRF攻击的风险。在开发应用程序时,还应该遵循其他安全最佳实践,如避免使用不安全的库、保持应用程序的软件和系统更新、监视应用程序日志等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值