系统安全扫描扫出了:可能存在 CSRF 攻击怎么办

最新推荐文章于 2024-08-09 14:37:43 发布
最新推荐文章于 2024-08-09 14:37:43 发布
阅读量613 收藏 4
点赞数 3
分类专栏: 前端小白的运维之路 文章标签: csrf 前端 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/io_123io_123/article/details/139249370
版权

        公司的H5在软件安全测试中被检查出可能存在 CSRF 攻击,网上找了一堆解决方法,最后用这种方式解决了。

1、问题描述

        CSRF 是 Cross Site Request Forgery的缩写(也缩写为也就是在用户会话下对某个 CGI 做一些 GET/POST 的事,RIVTSTCNNARGO一这些事情用户未必知道和愿意做,你可以把它想做 HTTP 会话劫持。

        解决方案:建议做如下安全加固: 在 Web 应用程序侧防御 CSRF 漏洞,一般都是利用referer、token 或者验证码。

2、问题现象

        实际上我们查看这个问题也就发现系统存在使用post方式 使用referer参数请求腾讯网这个网址会出现不安全的问题。

3、解决方案

        直接从nginx上面考虑,直接禁掉referer这个参数请求,在nginx.conf中添加下面参数:

valid_referers none blocked server_names;
if ($invalid_referer) {
   return          403;
}

        //这里要注意的是:if后面必须有空格,要不然会导致你的nginx起不来。

小张快跑。
关注
专栏目录
漏洞扫描(kali beef-xss、DNSlog、CSRF、SSRF)
m0_61506558的博客
08-04 1603
并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取、系统命令执行、内网端口 探测、攻击内网网站等危害。,'.yourid.ceye.io/jinyiuxin'))),1,0) 黑体处拼接SQL语句。gopher协议:是一种信息查找系统,只支持文本,不支持图像,已被HTTP替代。第三方网站利用被攻击网站生效的cookie,直接对服务器接口发起请求。抓取正常通信请求的数据包,再请求一次。.........
【项目实战】Web端常见的高风险漏洞与解决方法(CSRF跨站请求伪造 攻击
本本本添哥
11-25 1106
CSRF(Cross-site request forgery 跨站请求伪造)
CSRFScanner:Python CSRF漏洞扫描器
05-06
CSRFScanner v1.0 Python CSRF漏洞扫描器 描述 CSRFScanner是一种用于扫描网站以查找CSRF漏洞的工具。 这是一个基本工具,不是很人性化,我最初是出于学术目的而开发的。 可以在PDF CSRFScanner_Explications.pdf(以法语编写)中找到更多说明。 要求 Python> = 2.6 用法 python main.py [-R] URL Cookie -R是一个可选参数,用于跟随内部链接以扫描整个网站。 URL是要扫描的网页 Cookie是要发送以进行身份​​验证的Cookie。 可以使用Wireshark之​​类的工具,Burp或Webscarab之类的Web代理,TamperData之类的Web浏览器扩展来查看...
CSRF检测工具
12-09
CSRFTester是一款CSRF检测工具 .
就一次!带你彻底搞懂CSRF攻击与防御
最新发布
公众号:该用户快成仙了
08-09 1306
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。----来自维基百科简单来说就是黑客冒充你执行一些恶意行为。跨站可以理解为你登录了A网站,然后访问了恶意B网站。HTTP请求。
csrf:适用于Burp Suite Pro的CSRF扫描仪扩展
05-15
适用于Burp Suite Pro的CSRF扫描仪扩展 要求 Burp Suite Pro 如果要从头开始编译代码,则还需要以下内容: (编译到.jar或复制到Burp的Java Environment目录中)
Bolt:CSRF扫描仪-源码
05-25
螺栓 笨拙的CSRF扫描仪 重要的 Bolt处于测试的Beta阶段,这意味着可能存在错误。 不鼓励使用此工具。 欢迎提出请求和问题。 如果您对此仓库感兴趣,我也建议您将它放在监视中。 工作流程 爬行 Bolt将目标网站爬网到指定的深度,并将找到的所有HTML表单存储在数据库中以进行进一步处理。 评估 在此阶段,Bolt找出不够强大的令牌和不受保护的形式。 比较中 此阶段专注于重播攻击场景的检测,因此检查令牌是否已发行多次。 它还计算所有令牌之间的平均,以查看它们是否相似。 还将令牌与250多种哈希模式的数据库进行比较。 观察 在此阶段,对单个网页同时发出100个请求,以查看是否为请求生成了相同的令牌。 测验 此阶段专用于CSRF保护机制的主动测试。 它包括但不限于检查moblie浏览器是否存在保护,使用自行生成的令牌提交请求以及测试是否将令牌检查到一定长度。 分析 在此阶段执行各种统计检查
渗透测试基础-CSRF原理及实操
weixin_45488495的博客
04-20 634
渗透测试基础-CSRF原理及实操CSRF原理漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! CSRF原理 漏洞总结 XSS的防护方法可采用设置实体编码函数来处理,但记得要将单引号和尖括号设置进去,因为实体编码的函数,默认只会对双引号进行实体编码。可以跟员工普及安全知识,因为像反射型XSS需要别人的点击才会触发,所以在点击链接时因考虑一下这个链接会不会存在问题。 《最好的防御,是明白其怎么实施的攻击》 ...
安全测试漏扫工具_HCL AppScan最新版本_10.0.8(28186)_2022年8月_appscan28150下载
08-05
安全测试是IT行业中至关重要的一个环节,特别是在Web应用程序开发中,因为任何安全漏洞都可能导致数据泄露、系统瘫痪甚至法律纠纷。HCL AppScan是一款知名的安全测试漏扫工具,用于发现并修复应用中的安全漏洞。在...
网络安全渗透测试(被动扫描
m0_74164189的博客
06-26 709
在渗透测试过程中,测试人员模拟黑客的行为,通过发现和利用漏洞来获取未经授权的访问权限,从而评估系统的安全性和漏洞的严重程度,最终提供修补建议。在进行网络安全渗透测试时,被动扫描是一种很重要的技术,可以在不向目标系统发送任何数据包的情况下,获取目标系统的信息和漏洞情况。总之,在进行网络安全渗透测试时,被动扫描是一种很重要的技术,可以帮助测试人员获取目标系统的信息和漏洞情况。总之,网络安全渗透测试是一项重要的安全评估方法,可以帮助企业和组织发现潜在的安全漏洞和弱点,从而提高系统的安全性。
椰树Web漏洞扫描器
11-15
4. **文件包含漏洞**:当网站允许用户上传或引用外部文件时,可能存在文件包含漏洞,攻击可能借此执行任意代码。椰树扫描器会查找此类风险点。 5. **弱口令与默认配置**:很多攻击始于弱密码或默认配置,扫描器会...
使用CSRF攻击破解
05-31
使用CSRF攻击破解
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 6983
什么是CSRF攻击,如何防范CSRF攻击
CSRF漏洞原理攻击与防御(非常细)
m0_61869253的博客
10-12 3407
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
CSRF 攻击详解
只为成功找方法 不为失败找借口
05-22 2344
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
CSRF漏洞详解与挖掘
2401_84618514的博客
07-25 947
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
CSRF攻击以及解决方法(很系统)
ToBe_Coder的博客
09-04 4118
CSRF 背景与介绍   CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。   然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, ...
软件安全测试-Web安全测试详解-CSRF攻击
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-11 1093
CSRF(Cross-Site Request Forgery),跟XSS漏洞攻击一样,存在巨大的危害性。 你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
使用 CSRFTester 进行自动化探测 CSRF 漏洞
Cwillchris的博客
07-12 1578
1、探测的目的探测的目的是:探测 web 应用程序是否具有防止 CSRF 的措施。如果 Web 应用程序的 HTTP 请求中没有对应的预防措施,那么很大程度上就确定存在 CSRF 漏洞2、自动化探测工具介绍实验环境:win7 虚拟机中步骤如下(1)启动 CSRFTester需要安装 JDK8,这个 JDK8 在前面安装 burpsuite 已经安装了。这里就不用安装了。(2)火狐浏览器设置代理(3)火狐访问DVWA,并登录,选择XSS(Store)(4)随便输入数据开启CSRF-Tester纪录切换到浏览器
前端安全实践:揭秘CSRF攻击与防护策略
"前端安全:如何防止CSRF攻击?" 前端安全是现代互联网应用程序开发中的重要环节,尤其是在移动互联网时代,各种安全问题层出不穷。CSRF(跨站请求伪造)攻击是一种针对Web应用的安全威胁,它利用用户的登录状态,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值