web安全之跨站请求伪造

最新推荐文章于 2024-02-11 14:00:38 发布
最新推荐文章于 2024-02-11 14:00:38 发布
阅读量2.9w 收藏 15
点赞数 5
分类专栏: J2EE WEBUI 文章标签: CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kkdelta/article/details/17503947
版权
J2EE 同时被 2 个专栏收录
54 篇文章 0 订阅
订阅专栏
WEBUI
32 篇文章 0 订阅
订阅专栏
CSRF(Cross-site request forgery),中文名称:跨站请求伪造.
因为这个不是用户真正想发出的请求,这就是所谓的请求伪造;因为这些请求也是可以从第三方网站提交的,所以前缀跨站二字。

CSRF发生的场景如下图所示:

用户登录访问了一个受信任的站点,
在用户还没有退出登录的时候,打开另外一个tab页,访问了网站B。
在B网站中,有CSRF攻击代码访问网站A。
发生的原因是,网站是通过cookie来识别用户的,当用户成功进行身份验证之后浏览器就会得到一个
标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站会带上这个cookie。
1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。
是的,确实如此,但你不能保证以下情况不会发生:
1.你不能保证你登录了一个网站后,不再打开一个tab页面并访问另外的网站。
2.你不能保证你关闭浏览器了后,你本地的Cookie立刻过期,你上次的会话已经结束。
(事实上,关闭浏览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于
退出登录/结束会话了)如记住密码功能等。
3.上图中所谓的攻击网站,可能是一个存在其他漏洞的可信任的经常被人访问的网站。
下面来看一个代码实例,在网站A发布了下面的代码
用户login,然后可以在input.jsp提交数据,提交的数据被dataupdate.jsp更新到后台。
dataupdate.jsp会检查用户是否登录,如果没有登录会跳到login.jsp要求用户登录。

login.jsp
<body>
<form action="input.jsp" method="post">
name<input type="text" name="name" size="50"><br>
pwd<input type="password" name="password" size="50"><br>
<input type="submit" value="submit">
</form>
<br>
</body>
</html>

input.jsp
<body>
<%
	//Session session = request.getSession();
	String username = (String)session.getValue("username");
	System.out.println("username " + username);
	if(null==username){
		String uname = request.getParameter("name");
		session.putValue("username", uname);
	}

%>
<form action="dataupdate.jsp" method="post">
<input type="text" name="comment" size="50"><br>
<input type="submit" value="submit">
</form>
<br>
</body>

dataupdate.jsp
<body>
<%
	String username = (String)session.getValue("username");
	System.out.println("username " + username);
	if(null==username){
		System.out.println("has not logged in");
		response.sendRedirect("login.jsp");
	}else{
		String comment = request.getParameter("comment");
		
		System.out.println("add a comment: " + comment);
			
		out.write("comment is : " + comment);
	}
%>
</body>
</html>
表面上看起来好像没有问题。
假设我们有另外一个网站B,它有一个网页文件如下
如果在用户登录访问网站A的同时访问了网站B,访问者在网站A的数据就会被假冒更新。
可以在后台看到有如下的输出:add a comment: fromcsrf 

<body>
use a img element to send a get request <br>
<img src="http://www.a.com/prjWebSec/csrf/dataupdate.jsp?comment=fromcsrf">
</body>
</html>
这里网站A违反了HTTP规范,使用GET请求更新资源。那是不是用post请求就不会发生CSRF呢?
结果是同样会发生。可以通过构造javascript构造form提交,如下面的代码 

<body >
</body>
	<script type="text/javascript">

		var frm= document.getElementById("viframe");
		function sendcsrf()  
		{  
		    var form1 = document.createElement("form");  
		    form1.id = "form1";  
		    form1.name = "form1";  
		    document.body.appendChild(form1);  
		
		    var input = document.createElement("input");  
		    input.type = "text";  
		    input.name = "comment";  
		    input.value = "from csrf post";  
		
		    form1.appendChild(input);  
		    form1.method = "POST";  
		    form1.action = "http://www.a.com/prjWebSec/csrf/dataupdate.jsp";  
		    form1.submit();  
		    document.body.removeChild(form1);  
		} 
		sendcsrf();
    </script>
</html>
防止方法:
1,利用referer判断,
但是用户有可能设置浏览器使其在发送请求时不提供 Referer,这样的用户也将不能访问网站。
2,在请求中添加 token 并验证
关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中,
可以在服务器端生成一个随机码,然后放在form的hidden元素中,form提交的时候在服务器端检查。

IT农夫
关注
  • 5
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
【已解决】跨站请求伪造
专注于Java领域开发 关注我 带你玩转Java
06-16 2016
解决跨站请求伪造
篡改referer_HTTP_REFERER的用法及伪造
weixin_29615645的博客
12-24 2092
引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERER,php文档中的描述如下:“引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改HTTP_REFERER 的功能。简言之,该值并不可信。 ”在百度百科中,对于该参数的描述如下:“HT...
跨站请求伪造 CSRF 漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
02-11 806
跨站请求伪造 CSRF 漏洞原理以及修复方法
每日漏洞 | 跨站请求伪造
03-12 821
HTTP的无状态性,导致Web应用程序必须使用会话机制来识别用户。一旦与Web点建立连接(访问、登录),用户通常会分配到一个Cookie,随后的请求,都会带上这个Cookie,这样Web点就很容易分辨请求来自哪个用户,该修改哪个用户的数据。如果从第三方发起对当前点的请求,该请求也会带上当前点的Cookie。正是这是这个缺陷,导致了CSRF的产生,利用这个漏洞可以劫持用户执行非意愿的操作。
HTTP_REFERER的用法及伪造
热门推荐
且行且吟
11-13 10万+
引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERER,php文档中的描述如下: “引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改 HTTP_REFERER 的功能。简言之,该值并不可信。 ” 在百度百科中,对于该参数的描
window.open被拦截的解决方案
客官不爱喝酒的博客
06-25 1084
a标签跳转
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
跨站请求伪造CSRF简介 第7章 Web应用安全 目标 Objectives 要求 了解跨站请求伪造CSRF的基本概念; 了解跨站请求伪造CSRF的攻击原理; 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 跨站请求伪造(Cross-site ...
论文研究-跨站请求伪造CSRF)攻击与防范技术研究 .pdf
08-23
跨站请求伪造CSRF)攻击与防范技术研究,刘雅楠,马兆丰,跨站请求伪造CSRF)攻击作为最严重的web漏洞威胁之一被列入了开放Web应用安全项目(OWASP)十大漏洞列表。该攻击具有很大隐蔽性和危
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
Web漏洞探索】跨站请求伪造漏洞
kjcxmx的博客
07-08 2268
跨站请求伪造Cross-site request forgery(也称为CSRF、XSRF)是一种Web安全漏洞,允许攻击者诱导用户执行他们不打算执行的操作。攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网发送出去,使目标网接收并误以为是用户的真实操作而去执行命令。它允许攻击者部分规避同源策略,该策略旨在防止不同网相互干扰。常用于盗取账号、转账、发送虚假消息等。攻击者利用网请求的验证漏洞而实现这样的攻击行为,网能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实
跨站请求伪造(CSRF)总结和防御
bluemoon_0的博客
02-04 1904
跨站请求伪造(CSRF)总结和防御
如何解决跨站请求伪造
沉底的石头
11-21 3万+
IBM appscan扫描漏洞--跨站请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 cookie  的“同源策
request header中的host伪造
weixin_42299862的博客
06-18 6668
一、 request header 中host的作用 转载:https://www.xuebuyuan.com/491841.html 在早期的Http 1.0版中,Http 的request请求头中是不带host行的,在Http 1.0的加强版和Http 1.1中加入了host行。 如: GET / HTTP/1.1 Host: www.google.com.hk … 一个IP地址可以对应多个域名: 一台虚拟主机(服务器)只有一个ip,上面可以放成千上万个网。当对这些网请求到来时,服务器根据Host
跨站请求伪造CSRF)攻击原理及预防手段
m0_47905795的博客
06-02 4577
随机化Token(CSRF Token):Token是用于验证网请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
跨站请求伪造
记录或发现工作问题,予以解决
04-15 4171
安全报告中会提示vue打包后的js文件,可以通过模拟请求头的文件进行发送请求,才从而变得不安全,为了防止这种事情发生,需要通过nginx的代理进行控制除了服务器的ip以及baidu的ip地址,其余的模拟请求地址不允许访问该js文件。
一文带你学习跨站请求伪造CSRF
大河之犬的博客
11-12 1919
web应用中,很多接口通过GET进行数据的请求和存储,如果未对来源进行校验,并且没有token保护,攻击者可以直接通过发送含有payload的链接进行诱导点击;最后,普通的参数如果也被加密或哈希,将会给数据分析工作带来很大的困扰,因为数据分析工作常常需要用到参数的明文。比如一个“论坛发帖”的操作,在正常情况下需要先登录到用户后台,或者访问有发帖功能的页面。但是验证码并非万能。正因为P3P头目前在网的应用中被广泛应用,因此在CSRF的防御中不能依赖于浏览器对第三方Cookie的拦截策略,不能心存侥幸。
跨站请求伪造
cgjil的博客
09-10 156
1.1。
跨站请求伪造CSRF
jkzyx123的博客
07-14 911
目标网会误认为该请求是合法的用户行为,并执行相应的操作。恶意请求执行:受害者在浏览器中打开了恶意页面后,其中的自动执行的请求会被发送到购物网。由于浏览器会自动携带受害者的身份验证凭证,购物网会误以为这是合法的请求,并执行购买商品的操作。CSRF(Cross-Site Request Forgery)跨站请求伪造是一种常见的网络安全攻击,它利用用户在已经登录的网上的身份验证信息来执行恶意操作。攻击者构造恶意页面:攻击者创建一个恶意网页,其中包含一个自动执行的请求,向购物网发送一个购买商品的请求
aweb.xml跨站请求伪造过滤器
09-06
Web.xml跨站请求伪造CSRF)过滤器是通过在web.xml配置文件中设置过滤器,并在过滤器类中继承OncePerRequestFilter.java父类来实现的。在该过滤器中,可以对请求头等进行匹配和判断,如果不符合特定条件,则认为是一种CSRF攻击的请求,并拒绝执行该请求。 具体在过滤器中的doFilter方法中,会接收到ServletRequest对象和ServletResponse对象以及FilterChain对象作为参数。在该方法中,可以对请求进行进一步处理和校验。 需要注意的是,如果初始化方法(init method)无法成功执行,Web容器将无法启动该过滤器的服务。因此,在配置和使用Web.xml跨站请求伪造CSRF)过滤器时,需要确保初始化方法的正确实现。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Appscan漏洞之跨站请求伪造CSRF)](https://blog.csdn.net/arkqyo2595/article/details/101105189)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [AppScan漏洞扫描之-跨站请求伪造](https://blog.csdn.net/weixin_39675178/article/details/115089193)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值