【网络渗透】什么是CSRF攻击?

最新推荐文章于 2024-08-15 10:53:11 发布
最新推荐文章于 2024-08-15 10:53:11 发布
阅读量247 收藏
点赞数
分类专栏: 学习 文章标签: csrf web java cookie session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hcrw01/article/details/105329450
版权

什么是CSRF攻击?

CSRF(Cross Site Request Forgery) 跨站点请求伪造

要完成一次CSRF攻击,受害者必须依次完成两个步骤:

1. 登录受信任网站A,并在本地生成Cookie。
2. 在不登出A的情况下,访问危险网站B。

看到这里,你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。是的,确实如此,但你不能保证以下情况不会发生:

1.你不能保证你登录了一个网站后,不再打开一个tab页面并访问另外的网站。

2.你不能保证你关闭浏览器了后,你本地的Cookie立刻过期,你上次的会话已经结束。(事实上,关闭浏览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了…)

3.上图中所谓的攻击网站,可能是一个存在其他漏洞的可信任的经常被人访问的网站。

csrf攻击流程图如下所示:
在这里插入图片描述

CSRF攻击如何避免?

  1. 前端的每个请求都携带csrfToken参数,值为登录后写到浏览器中cookie中的值,后端对csrfToken做校验,因为第三方地址无法获取到其他地址的cookie,所以可避免csrf攻击。

    缺点:前端和后端处理繁琐

  2. 使用oauth2的验证方式,登录系统后将后台返回的accessToken存到localStorage中,每次访问接口时自动带上localStorage中的accessToken

Drizzleeeeee
关注
专栏目录
什么是“渗透”?渗透攻击有效吗?
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-24 1万+
渗透攻击者常用的一种攻击手段,也是一种综合的高级攻击技术,同时渗透也是安全工作者所研究的一个课题,在他们口中通常被称为”渗透测试(Penetration Test)”。 无论是网络渗透(Network Penetration)还是渗透测试(Penetration Test),其实际上所指的都是同一内容,也就是研究如何一步步攻击入侵某个大型网络主机服务器群组。只不过从实施的角度上...
【愚公系列】2023年05月 Web渗透测试之CSRF攻击
热门推荐
时光隧道
08-24 5万+
CSRF(Cross-Site Request Forgery)攻击也称为“跨站请求伪造”,是一种利用用户登录状态在用户不知情的情况下完成非法操作的攻击方式。攻击者可以通过构造一些特定的URL或者使用特定的代码,在用户进行正常操作时,将请求发送到被攻击的网站,在用户没有察觉的情况下完成攻击。GET型CSRF攻击攻击者在URL中注入参数,用户在点击链接或者图片时访问了带有恶意参数的网站,并在用户不知情的情况下完成攻击
CSRF是什么?
文摘资讯
09-27 8753
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 攻击
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
ewii12567的博客
08-15 1094
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
什么是CSRF攻击
weixin_40851188的博客
05-01 1650
什么是 CSRF 攻击CSRF 概念:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利 用。 尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户的...
什么是 CSRF 攻击
lio-zero 的博客
05-23 2756
CSRF(Cross-site request forgery):跨站请求伪造。 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。与 XXS 相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 CSRF攻击原理 用户登录了受信任的网站,并在本地生成了 cookie。 在不退出登录的情况下,访问了危险网站。 危险网站会发出......
前端安全系列之二:如何防止CSRF攻击
javagty6778的博客
03-07 485
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
yinjiyufei的博客
01-14 3292
网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
【漏洞挖掘】——43、CSRF攻击技巧
Fly_鹏程万里
06-07 51
本文主要对CSRF攻击中如何构造非点击类的攻击载荷的构造和实现。
你知道什么是 CRSF 攻击吗?
激流丶的博客
02-25 1743
CSRF(Cross-Site Request Forgery)攻击是一种网络安全攻击方式,攻击者利用用户已经认证过的会话来执行未经用户授权的操作。攻击者通过诱使用户访问恶意网站或点击恶意链接,在用户已经登录的情况下发送伪造的请求,以执行某些操作,如修改用户信息、发起转账等。这样的攻击可以导致用户数据泄露、账户被盗等安全问题。
网络渗透概述
chybetter的博客
06-27 2936
网络渗透概述
网络渗透基本概念
Woolemon的博客
10-12 2047
网络渗透基本概念 broadcast:广播(全部取1则为广播地址); ping:测试网络的连通性; Gateway:网路中的出口。(0.0.0.0:表示路由); inet:ip地址(四个字节); netmask:以太网(网卡/硬件/物理/Mac地址,用196进制描述,六个字节); DNS:域名解析(可让你转到该域名的ip地址。主要是让用户在互联网上通过域名找到域名对应的IP地址,因为IP地址都是一串数字(例如:192.168.0.1)不方便记忆,便诞生了域名,将域名和IP地址捆绑在一起,人们在访问域名的同
网络安全渗透概念
qq_53086690的博客
04-24 3331
  长时间以来,人们都认为渗透测试就是用软件进行扫描漏洞。漏洞的扫描的确非常重要,但只是渗透测试·的一部分。实际上,大多数的漏洞扫描结果仅仅反映出目标网络是否及时的进行了系统的更新。   实际上网络安全渗透是针对某一网络进行安全的评估。通过测试人员来完成,目的是发现目标网络上存在的漏洞和安全机制方面的隐患,并且提出改良的方法。   根据事先对网络的了解程度,网络渗透方法分为以下三种:黑盒测试,白盒测试,灰盒测试。 黑盒测试 黑盒测试也被称为外部测试,在进行黑盒测试时,事先假定渗透人员对目标网络的内部结构和
什么是 CSRF?如何防止 CSRF 攻击
公众号:该用户快成仙了
07-27 1154
CSRF,全称 Cross-Site Request Forgery,中文翻译为跨站请求伪造,它是一种网络安全漏洞,攻击者通过伪造用户的请求,利用用户在已登录的情况下的身份验证信息,向服务器发送恶意请求,从而执行未经用户授权的操作。CSRF攻击通常发生在用户已经登录了某个网站的情况下,攻击者在用户不知情的情况下利用用户的身份信息发送恶意请求,导致服务器误以为是用户发送的合法请求。用户登录到一个网站,并且被骗点击了攻击者构建的另一个网站链接,这代表了 CSRF 的“跨站点”部分。
网络安全(渗透入门)
weixin_46168073的博客
09-26 455
1
WEB网络渗透的基础知识
落叶花雪的博客
08-15 2万+
网络渗透 1.什么是网络渗透 网络渗透攻击者常用的一种攻击手段,也是一种综合的高级攻击技术,同时网络渗透也是安全工作者所研究的一个课题,在他们口中通常被称为”渗透测试(Penetration Test)”。 无论是网络渗透(Network Penetration)还是渗透测试(Penetration Test),其实际上所指的都是同一内容,也就是研究如何一步步攻击入侵某个大型网络主机服...
WEB2.0环境下的渗透测试:XSS与CSRF攻击
"这篇文档探讨了在WEB2.0环境下进行渗透测试的议题,强调了与WEB1.0相比,WEB2.0的渗透测试更侧重客户端的攻击,并且介绍了几种主要的攻击方式,如XSS、CSRF、第三方内容劫持和Clickjacking等。" 在WEB1.0时代,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值