跨站点请求伪造的处理方法

最新推荐文章于 2024-06-18 17:09:25 发布
最新推荐文章于 2024-06-18 17:09:25 发布
阅读量4.9k 收藏
点赞数
分类专栏: 其他 文章标签: 跨站点请求伪造
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangmengbk/article/details/117367372
版权

使用安全软件对网站扫描后报出“跨站点请求伪造”的漏洞。

 

根据推理信息,提示没有参数是动态的。这个url是注销登录的请求,并不需要传递参数,那我想到的解决方案就是制造一个动态的参数,这样就可以让扫描软件以为是有动态参数的,解决此问题。

代码如下:

//注销登录
function handleLogOff() {
    var randomNum = Math.ceil(Math.random() * 10000);   // 获取从 1 到 10000 的随机整数,取 0 的概率极小。
    $.ajax({
        type: "post",
        url: "LogOff.aspx",
        data: { random: randomNum },//这里传递个随机整数,没有实际意义,为了解决安全扫描的中危漏洞:跨站点请求伪造
        success: function (data) {
            window.location.href = "Login.aspx";
        }
    });
}

在点击注销按钮时调用此方法,传递随机生成的random参数。

 

再次用软件进行扫描,发现不再报这个漏洞了。

梁萌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java如何解决站点请求伪造_站点请求伪造(CSRF)
weixin_39620001的博客
02-13 2063
一、前言站点请求伪造(Cross-SiteRequest Forgeries, CSRF),是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击;有如下危害:1、利用已通过认证的用户权限更新设定信息;2、利用已通过认证的用户权限购买商品,虚拟货币转账;3、利用已通过认证的用户权限在留言板发表言论;二、攻击原理:第一步:验证用户访问存在CSR...
java 站点伪造请求_AppScan漏洞扫描之-站点请求伪造
weixin_33458169的博客
02-25 559
解决方案:增加一个过滤器,当请求头Referer中包含扫描里的http://bogus.referer.hcl.com时,禁止访问/******************************************************************************** @(#)CSRFilter.java 2020/4/7** Copyright 2020 emrubik...
如何解决站点请求伪造
沉底的石头
11-21 3万+
IBM appscan扫描漏洞--站点请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 cookie  的“同源策
关于CSRF 请求伪造及CORS域资源共享漏洞修复案例
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-12 1727
请求伪造(CSRF):是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 漏洞原理:用户C访问正常网站A时进行登录,浏览器保存A的cookie;用户C再访问攻击网站B,网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交,传指定的参数;...
【burpsuite安全练兵场-客户端12】站点请求伪造CSRF-12个实验(全)
最新发布
heike_Ch的博客
06-18 1106
一、站点请求伪造(CSRF)1、简述:2、影响:3、原理:4、构造CSRF攻击实验1:无防御的CSRF漏洞5、利用CSRF6、针对CSRF的常见防御措施二、绕过CSRF令牌验证1、CSRF令牌2、CSRF令牌的验证取决于请求方法实验2:令牌验证取决于请求方法的CSRF3、CSRF令牌的验证取决于令牌是否存在实验3:CSRF,其中令牌验证取决于令牌是否存在4、CSRF令牌未绑定到用户会话实验4:令牌未绑定到用户会话的CSRF5、CSRF令牌绑定到非会话Cookie。
站点请求伪造解决方案
weixin_30897079的博客
07-28 352
站点请求伪造解决方案 AppScan 站点请求伪造 Token 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 前一篇博客介绍了启用了不安全的HTTP方法解决方案,有兴趣请移步http://www.cnblogs.com/xlyslr/p/5707995.html。 1.站点请求伪造 首先,什么...
站点请求伪造(CSRF)
onion的博客
09-07 736
是什么?   CSRF攻击指诱使用户访问伪造的页面,然后以该用户身份在第三方站点执行一次操作,CSRF攻击是利用用户身份操作用户账户的一种攻击方式。 怎么办? 验证码:CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求。验证码则强制用户必须与应用进行交互,才能完成最终请求。因此在通常情况下,验证码能够很好地遏制CSRF攻击,但该防御方式用户体验较差; Referer Check防盗链:可...
java 站点伪造请求_Web安全教程之CSRF(站点请求伪造)
weixin_33791488的博客
03-07 222
前端面试过程中遇到的另一个最多的问题就是web安全了,之前博客有分享过XSS攻击的内容,这次聊聊CSRF攻击。CSRF是一种常见的攻击,但是也是web安全中最容易被忽略的一种攻击方式。什么是CSRF(站点请求伪造)根据字面意思,大概能猜到,CSRF攻击就是攻击者伪造了用户的请求,在用户不知道的情况下,以用户的名义向服务器发送恶意请求。常见的场景是,用户首先登陆一个正常(下面称为被攻击网站)的网站...
java如何解决站点请求伪造_AppScan漏洞扫描之-站点请求伪造
weixin_39675178的博客
03-08 690
解决方案:增加一个过滤器,当请求头Referer中包含扫描里的http://bogus.referer.hcl.com时,禁止访问/******************************************************************************** @(#)CSRFilter.java 2020/4/7** Copyright 2020 emrubik...
Tomcat怎样防止请求伪造(CSRF) 1
08-08
Tomcat 防止请求伪造(CSRF)机制浅析 在 Web 应用开发中,请求伪造(CSRF)是一种常见的安全威胁。请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
Django中如何防范CSRF站点请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF站点请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CSRF(请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
强大的防御站点请求伪造.pdf
08-01
配套博客:https://blog.csdn.net/qq_41739364/article/details/96846943
检查更新时出错:无法启动更新检查(错误代码为 3: 0x80040154)
热门推荐
每天学习一点点
05-04 5万+
谷歌浏览器输入: chrome://settings/help 发现升级谷歌浏览器出错, 这时候可以选择使用360卫士升级谷歌浏览器.
文档在线导出工具
每天学习一点点
10-20 1万+
http://wenku.baiduvvv.com/doc/
VS2010 代码块快速折叠快捷键
每天学习一点点
10-15 9373
Ctrl + M + O: 折叠所有方法 Ctrl + M + L: 展开所有方法 Ctrl + M + M: 折叠或者展开当前方法  
Visual Studio 2012下载安装方法
每天学习一点点
08-01 9370
旗舰版序列号(中英文版都可以用): YKCW6-BPFPF-BT8C9-7DCTH-QXGWC RBCXF-CVBGR-382MK-DFHJ4-C69G8 中文旗舰版下载地址: http://download.microsoft.com/download/B/0/F/B0F589ED-F1B7-478C-849A-02C8395D0995/VS2012_ULT_chs.iso 英文旗舰版下载地址: http://download.microsoft.com/download/D/B/0.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值