csrf攻击简单介绍

最新推荐文章于 2023-03-31 14:40:55 发布
最新推荐文章于 2023-03-31 14:40:55 发布
阅读量397 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/less_cold/article/details/78026730
版权

csrf也是利用html和js来对他人的网站进行攻击的。但是跟xss不同的是,不需要对cookie进行操作。

例如

在管理员下可以增加管理员,但是增加管理员的时候没有验证码这一项,也就是说只有用户名和密码。

这个时候我们可以在我们的网站下按照相同的表单设置value,表单指向这个管理员的网址,然后在js里设置自动点击提交按钮,并且设置这个表单隐藏。

这样将这个网页发送给管理员,管理员打开,如果他在线或者session未失效,那么我们的表单就可以提交上去。这样我们就有了新的管理员账户。

当然还有很多其他的例子。这里就不一一说了。

 csrf和xss也可以配合。


如何预防呢?

可以加上验证字段,例如验证码;安装csrf检测工具;不用的登录过的网站一定要点退出按钮;

使用两个浏览器分工,奇奇怪怪的在一个浏览器打开,重要的在一个浏览器打开;

尽量不要打开奇奇怪怪的链接。

less_cold
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实现 CSRF 攻击简单示例
weixin_33989780的博客
06-21 2474
为什么80%的码农都做不了架构师?>>> ...
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 6962
什么是CSRF攻击,如何防范CSRF攻击
csrf攻击简介以及防御之道
qq_20556403的博客
07-05 340
CSRF(Cross Site Request Forgery, 跨站域请求伪造)CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 举例说明:受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 ht
CSRF(跨站请求伪造)的理解
weixin_33720078的博客
03-25 182
2019独角兽企业重金招聘Python工程师标准>>> ...
不错的讲解CSRF攻击的小例子
jackyrongvip的专栏
03-26 294
CSRF
CSRF测试示例——CSRFTester
MavisHSB
04-08 8236
1、下载CSRFTester,并启动run.bat,终端显示代理地址:‘127.0.0.18008’2、按照上一步中的代理地址,设置浏览器代理。3、在网站中登录后,发送一个请求(添加工作经历)。4、点击Start Recording,利用CSRFTester抓取请求,并对求情参数进行修改:5、点Generate HTML生成脚本6、在浏览器不退出登录情况下,打开生成的脚本,则发现新添加一条信息,则...
csrf攻击
3569
06-28 367
原理 : 设计代码者 ,在对数据库进行增删改查时,传递的参数 简单,任何人只要访问指定的 网址,便可以利用当前操作者的身份进行操作。 例子 : A 站存在 CSRF漏洞 (增加管理员一处参数过于简单,没有验证),B站是攻击者的服务器  管理员登陆账户后 在A 站浏览 检查, 攻击者在A站上边发了个 诱惑性的网站链接 ,比如:         我是XXX ,我好寂寞, 快点我~
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。简单地...
Flask模拟实现CSRF攻击的方法
09-20
以下代码展示了如何使用 Flask 框架构建一个简单的 Web 应用,但未进行 CSRF 验证,因此存在 CSRF 攻击的风险: ```python from flask import Flask, render_template, make_response, redirect, request, url_for ...
PHP开发中csrf攻击简单演示和防范
10-19
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对...
TOP16之CSRF -- 小黑超细详解+案例说明<宝藏文>
最新发布
G_WEB_Xie的博客
03-31 821
CSRF -- 跨站请求伪造,很好理解,就是盗用别人的身份伪造请求发送给服务器,在未授权的情况下执行权限保护之内的操作,因为请求的一切流程都是正常操作,这也是一般不会被检测到的漏洞行为。小黑子们,撸起袖子加油干!!!
关于CSRF攻击的一些总结
独酌101112的博客
07-13 360
今天抽时间研究了下CSRF攻击,相对于之前的XSS,感觉CSRF更复杂了一些,查阅了一些大佬的博客,在此总结一下: 含义:CSRF即跨站点请求伪造(Cross Site Request Forgery),攻击者盗用用户的身份,以用户的名义发送恶意请求,但是对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User
从零开始学CSRF
weixin_33825683的博客
01-13 101
为什么要拿CSRF来当“攻击手法系列”的开头篇呢?因为CSRF/XSRF我个人喜爱他的程度已经超过XSS了。如果说XSS是一个老虎,那么CSRF就是隐藏在暗处的蛇。--all from freebuf 相信现在很多人不明白CSRF是怎么运作,他和XSS的不同是在哪里。我这里就逐步为大家解释,并从浅入深的介绍CSRF。 入门 我们先来看看CSRF和XSS的工作原理,先让大家把这两个分开来。 ...
【网络安全】深入探究CSRF攻击与防范
weixin_41950078的博客
04-04 731
目录 1.0 什么是CSRF攻击? 2.0 CSRF攻击过程 3.0 CSRF防范策略 3.1 验证HTTP请求头中指定字段 3.2 添加校验Token 4.0 小结导图 1.0 什么是CSRF攻击CSRF攻击的全称是跨站请求伪造( cross site request forgery),是一种对网站的恶意利用,尽管听起来跟XSS跨站脚本攻击有点相似,但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受...
安全-CSRF学习分享
qq_41056410的博客
02-22 3120
什么是 CSRF CSRF(Cross-Site Request Forgery)的全称是“跨站请求伪造”,也被称为“One Click Attack”或者“Session Riding”,通常缩写为CSRF或者XSRF。 攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。 CSRF攻击其实是利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用
前端安全(二)CSRF攻击原理及防范
qq_34416331的博客
12-21 602
本文将介绍CSRF攻击以及防范CSRF的常见方法 一、什么是CSRF攻击 1.1 背景 1.2 造成的危害 1.3 攻击原理 1.4 CSRF攻击的特点 1.5 CSRF攻击是如何避开同源策略的? 二、常见的CSRF攻击方式 2.1GET类型的CSRF攻击 2.2 POST类型的CSRF攻击 三、CSRF防御方式 3.1尽量使用POST,限制GET 3.2token ...
7.CSRF(跨站请求伪造)
qq_45926195的博客
10-31 135
7.1什么是csrf CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击 7.2csrf原理 Cross-site request forgery 简称为“CSRF”,在CSRF攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了 程序员开发的时候,未对相关页面进行token和REFERER判断,造成攻击者..
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
【Web 安全】CSRF 攻击详解
weixin_44211968的博客
05-11 1万+
文章目录一、CSRF 简介二、CSRF 原理三、CSRF 的危害四、CSRF攻击类型五、CSRF 的防御1. 验证 HTTP Referer 字段2. 在请求地址中添加 token 并验证3. 在 HTTP 头中自定义属性并验证参考链接 一、CSRF 简介 CSRF(Cross Site Request Forgery,跨站域请求伪造),也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF 。 尽管听起来像跨站脚本(XSS),但它与X
理解CSRF攻击:原理、危害与防范
"安全性测试--CSRF攻击" CSRF(跨站请求伪造)是一种网络安全攻击手段,攻击者通过利用用户的已登录状态,在用户不知情的情况下,诱导他们执行非预期的敏感操作。这种攻击通常发生在用户在受信任的网站A保持登录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值