了解CSRF

最新推荐文章于 2024-04-23 12:35:36 发布
最新推荐文章于 2024-04-23 12:35:36 发布
阅读量162 收藏
点赞数
分类专栏: 网络安全 文章标签: CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lh408684474/article/details/89188402
版权

1、什么是CSRF?

CSRF(crosing-site-request-forgery)跨站点请求伪造,重点在于**请求伪造**。
简单来说就是,恶意攻击者诱导合法用户向自己构造出来的后端发送请求,此请求是在用户不知情的状况下发出且携带了合法状态标志如cookie,此时后端验证cookie后就做出应答。

2、CSRF怎么做到的?

例子1、
<img style="width:0;" src="http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUserGuid=4e8c33d0-77fe-df11-ac81-842b2b196315" />
已知知识点:
a) src属性是有跨域能力的
b) 上面的url给出了一个关注博主的接口,后边的一串理解为用户id。
c) width:0 图片在视口不可见
那么,当用户打开含有这个图片的网页时,图片自动向服务器请求资源,然后就可能添加对应id用为关注对象(中计了)。
jsonp的套路是吧,那么我不让你用GET方法修改数据(这里也有一个小知识点get、post方法的区别到底是什么? 本质上就是语义区别。。。)不就ok了?

来城里试试吧!
例子二:

form标签中的action为请求地址,方法为post方法,照样可以实现信息伪造。

3、CSRF如何防范

1)尽量使用POST,限制GET
2)Referer Check 可以被用于检查请求是否来自合法的“源”,作为CSRF攻击的监控方法
3)请求前进行输入验证码(会影响用户体验)
4)请求时附带验证信息,比如验证码或者 Token

主要方法还是Token: CSRF的根本原因在于**Web的隐式身份验证机制**(cookie等)
	用户访问某个表单页面时,服务器随机生成一个token,放在cookie或者session中传给客户端,客户端享服务端发送请求时携带该token。服务端验证token合法记为用户主动发起访问,做出正确响应。
白萝卜皮儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前后端分离解决CSRF问题
ws_flying的博客
10-22 3208
个人记录,如有错误,敬请指出 项目环境:spring boot+shiro+jwt 简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解 1、创建CsrfFilter import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ht
一文带你了解CSRF与SameSite
josiah_zhao的博客
03-12 751
什么是Cookie 为了解CSRF与SameSite的成因、关系与历史,我们首先需要对Cookie有一个基础的了解。 我们知道,HTTP请求本身是无状态的,正常来说,服务端收到请求后并不知道请求者是谁; 所以为了记录用户的标识信息,来提供更好更便捷的网络服务,Cookie应运而生。 就好像我们使用ATM服务(HTTP服务)一样,没有插入银行卡(Cookie)之前,机器并不知道面前的人是谁,有多少余额,甚至不让你使用大部分的功能;但是当你插入之前银行发售(SetCookie)给你的银行卡(Cookie)之后
CSRF了解
water1730的博客
04-19 188
1 CSRF:扩展请求伪造 (1)可以理解为网站A使用网站B已经登录的信息进行恶意请求网站B,导致用户的身份被冒用就行恶意请求 (2)这种攻击是发生在使用session保存用户登录信息的服务端,通过sessionId获取用户的登录信息 2 解决方案 (1)在请求头中增加验证信息,每次请求的时候都携带验证信息 ...
CSRF简单介绍及利用方法
weixin_33980459的博客
10-27 356
x00 简要介绍 CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式,CSRF利用方式可分为两种。   0x01 GET类型的CSRF 这种类型的CSRF一般是由于程序员安全意识不强造成的。GET类型的CSRF利用非常简单,只需要一个HTTP请求...
什么是CSRF?可能多数人都不清楚,没事,一起来了解!!!
热门推荐
lajos的博客
06-23 3万+
        CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。        这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户...
渗透测试-一文了解csrf漏洞
lza20001103的博客
04-23 1438
渗透测试-一文了解csrf漏洞
CSRF demo代码
02-04
为了理解这个“CSRF demo代码”,我们需要了解以下关键概念: 1. **CSRF令牌**:一种防御CSRF攻击的方法,是服务器为每个表单生成的一个唯一随机值,必须在提交表单时一同发送回服务器。服务器检查这个令牌是否有效...
CSRF漏洞的靶场实验
09-19
首先,我们需要了解CSRF攻击的基本原理。当用户访问一个网站并登录后,浏览器会保存一个叫做会话(Session)的状态,使得用户在后续的请求中无需再次验证身份。攻击者利用这一点,构建一个恶意的页面或邮件,其中...
csrf-tester-gh-pages.zip
02-23
这些示例可以帮助开发者了解CSRF攻击如何影响应用程序。 2. **测试用例**:一系列的HTTP请求,用于尝试触发CSRF漏洞。开发者可以使用这些请求来检查自己的应用是否已经正确防御了CSRF攻击。 3. **文档**:解释了...
CSRF课程.pdf
01-25
CSRF,全称为跨站请求伪造(Cross Site Request ...了解和掌握CSRF攻击的原理及防御手段对于保障Web应用程序的安全至关重要。学习此课程可以帮助你深入理解CSRF,学会如何识别和防止这类攻击,保护用户的数据安全。
基于JSP的Java Web项目的CSRF防御示例
01-07
在基于JSP的Java Web项目中,了解如何防御CSRF攻击至关重要,因为这可以保护用户的敏感数据和应用的完整性。 **CSRF攻击原理** CSRF攻击通常发生在用户已登录一个网站并保持会话的情况下,攻击者通过构造恶意链接...
探讨前后端分离架构下CSRF防御
包磊磊的博客
06-12 4495
什么是CSRFCSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XS...
NET语言程序设计课件-第2章 Visual C#.NET语法基础.ppt
最新发布
08-08
Visual C# .NET是一门面向对象的程序设计语言,是当前流行的.NET系列的语言。 本课程以Visual Studio为程序设计环境,对C#进行了全面阐述。 本电子课件适用于课程讲解或者课程分析参考使用。
[毕业设计]PHP图书借阅与归还管理系统(源代码+论文).zip
08-08
[毕业设计]PHP图书借阅与归还管理系统(源代码+论文)
ssm_012_mysql宝康药房销售管理系统.zip
08-08
随着我国市场经济的蓬勃发展和人们对医药产品需求的迅速增加,医药销售行业正处于一个高速发展的时期。行业的快速发展必然导致竞争的加剧,面对药品销售业日益严酷的竟争现实,加强管理、提高工作效率和改善服务质量成了急待解决的问题。而解决这些问题的关键措施之一就是利用计算机等现代信息技术,建立实用、先进、高效的药房销售管理系统,引进创新的经营机制,实现药品销售过程的全面信息化管理,以适应企业生存和发展的新形势。因此,开发一个宝康药房销售管理系统是十分必要的。 根据需求,确定系统采用JSP技术,SSM框架,JAVA作为编程语言,MySQL作为数据库。整个系统要操作方便、易于维护、灵活实用。主要实现了频道维护、新闻维护、药品维护、订单维护、系统管理等功能。
excel基本操作.pptx
08-08
excel基本操作.pptx
[毕业设计]PHP物业管理系统网站开发(源代码+论文).zip
08-08
[毕业设计]PHP物业管理系统网站开发(源代码+论文)
"深入了解CSRF攻击及防御
课程内容主要包括CSRF的概念和介绍、利用方法、预防措施等方面,通过学习这门课程,学生将了解CSRF的基础知识,掌握攻击方法,熟悉攻击场景并学会利用,学会检测漏洞的方法,并掌握漏洞的防御手段。 CSRF(跨站请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值