避免CSRF漏洞

最新推荐文章于 2023-02-14 10:29:24 发布
最新推荐文章于 2023-02-14 10:29:24 发布
阅读量734 收藏 1
点赞数
分类专栏: PHP 文章标签: csrf token session html javascript 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangpei2008/article/details/5662417
版权

CSRF漏洞,就是跨站攻击漏洞<也就是去年圣诞节玩了一把小漏洞,使好多人自动发贴:)>。


即在一个用户信任的站点下放置一个链接,该链接指向一个恶意站点,该站点是一个伪造的 的HTML(该HTML是一个伪造发贴、下单等行为),当用户点击后,有可能COOKIE会被盗用。或者用户会在神不知、鬼不觉的情况下自动下单或发贴!


这是由于一般用户登陆网站后会将用户名与密码记录在cookie中,而网站在进行关键操作时(如发贴等),代码会先判断cookie值,如果cookie不为空,则向下执行。而经过伪造的HTML去掉了Javascript,加上一些必添项就可以自动执行(发贴)了!

说了这么多,一句话来说就是

COOKIE盗用+表单伪造


避免CSRF可以采用以下方法!

思路:在向服务器发送HTTP请求时,服务器生成一个随机数,放到SESSION中,并把这个随机数以HIDDEN的形式放到表单中,这样就能鉴别出每次提交的表单是否伪造。


 

liangpei2008
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF漏洞
金色%夕阳的博客
04-11 1798
CSRF漏洞 1. 漏洞介绍 1. 什么是CSRF漏洞 全名是 Cross Site Request Forgery,跨站请求伪造。通利用受害者还未失效的身份认证信息,诱骗其点击恶意的连接或访问受害者不知情的网站,在受害者不知情的情况下完成请求,从而达到一个攻击的目的。因为受害者点击之后就会触发恶意的代码完成恶意的请求,“one click”攻击。 跨站------通过A网站去访问B网站 请求------访问网站的过程就是请求 身份认证信息-----COOKIEsession 含有身份认证信息的字符串
CSRF漏洞解决方案(个人见解)
ZiChenGroupOf的博客
06-03 4775
一. CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二. CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至...
CSRF进阶之打造一个检测CSRF漏洞的脚本
weixin_30673611的博客
05-06 420
前言: 还记得之前所学的CSRF漏洞吧。因为没有对表单做好对应的漏洞 而造成的CSRF漏洞。学了这个漏洞后逐渐的了解。这个比较鸡助。 代码: import requests,tqdm,time,os,re logo=""" ◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇...
如何防止CSRF漏洞
zyn8823533的博客
02-14 1002
CSRF (Cross-site request forgery) 漏洞是一种常见的网络安全漏洞,攻击者利用这种漏洞可以在用户不知情的情况下冒充用户发起恶意请求。使用 CSRF token:在每个表单中添一个唯一的 CSRF token,确保表单提交的数据是合法的。限制敏感操作:对于涉及敏感操作的请求,需要使用二次确认或者输入密码等方式,确保用户的操作是合法的。使用验证码:对于一些敏感的操作,可以要求用户输入验证码,确保用户的操作是人工操作。及时更新网站补丁:及时更新网站补丁,确保网站的安全性。
web网站安全 CSRF介绍及解决方案
半夏_2021的博客
04-26 1975
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”。 是指恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事。
espcms csrf漏洞 导致任意管理员添1
08-03
**ESPCMS CSRF漏洞详解** **一、漏洞背景与简介** ESPCMSV6是一款基于LAMP(Linux、Apache、MySQL、PHP)架构的企业级网站管理系统。然而,该系统在其后台管理界面存在一个严重的CSRF(Cross-Site Request Forgery...
CSRF思路分享.docx
04-14
为了让csrf漏洞触发变得简单,我们可以利用XSS漏洞来触发csrf漏洞。首先,我们需要了解发送的数据包内容,打开讲到的XSS平台,创建一个csrf的项目,然后编写我们的代码,粘到项目的代码配置中去,然后把我们的可利用...
CSRF_attack:此存储库的目的是了解和了解基本服务器可能面临的csrf漏洞
03-16
3. **使用安全HTTP方法**:对于可能引起状态更改的请求,如POST、PUT、DELETE,应避免使用GET,因为GET请求更容易被CSRF利用。 4. **CSP(Content Security Policy)**:配置CSP策略,限制浏览器只载和执行指定源...
命令执行+CSRF
06-11
在IT安全领域,命令执行和CSRF(Cross-Site Request Forgery,跨站请求伪造)是两种常见的漏洞类型,它们对系统的安全性构成严重威胁。在渗透测试中,了解并掌握这两种漏洞的原理、识别方法以及防范策略至关重要。 ...
常见漏洞利用exphub
01-23
在Exphub中,可以实践如何避免命令注入漏洞。 5. **文件包含漏洞**:文件包含漏洞允许攻击者通过指定包含远程或本地文件,执行恶意代码。防范措施包括禁止包含外部资源、严格控制文件路径来源等。Exphub会提供各种...
网络攻击——CSRF攻击
PUIWAH的博客
03-24 1302
CSRF攻击 CSRF全称是跨站请求伪造(cross site request forgery),CSRF伪装受信任用户,向第三方平台发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。 一个典型的CSRF攻击有着如下的流程: 受害者登录 a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了 b.com。 b.com 向 a.com ...
CSRF漏洞简单解决
非衣鲲化的博客
02-26 2771
在表单内增了一个隐藏域,再登陆页面增,然后扫描软件在扫描就扫描不出来了。如下: &lt;form id="fm" class="layui-form layui-form-panel" style="height: auto"&gt; &lt;input type="hidden" name="token" value="uu-90:pp:ll-qq"
CSRF攻击方式和防范措施
风过留痕
09-11 7438
CSRF攻击方式和防范措施
CSRF攻击解决方案--CSRFGuard使用文档
逐鹿人生的博客
06-05 4154
背景:公司项目使用fortyfy测试出CSRF相关的BUG,目前尝试使用CSRFGuard来解决CSRF攻击。 一、CSRF攻击: CSRF是“跨站请求伪造”,其操作方法是借助用户浏览器内的验证过的cookie,在用户点击链接时实现链接跳转,并携带用户的cookie,实现一些用户实际并没有执行的操作。 类似的BUG为:XSS“跨站脚本攻击”,即恶意让用户浏览器执行一些脚本,恶意获取用户coo...
CSRF(跨站请求伪造) 漏洞与预防(附代码)
SongSir001的博客
08-02 1366
文章目录一、概念二、攻击原理三、防范手段1、校验Referer代码实现1(web.xml配置版):代码实现2(SpringBoot版)2、添校验 Token3、输入验证码 一、概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽...
如何防止CSRF攻击
许文杰的博客
03-17 6146
  随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技...
如何模拟登陆添CSRF保护的网站
weixin_30544657的博客
05-28 265
上次写了篇文章,内容是如何利用WebClient模拟登陆CSRF控制的网站,回复中有人还是不理解,现在另开一篇,打算说说用Python如何来登陆。 开写之前,先说下为什么webrequest不行,常规情况下,我们在利用webrequest的时候,都是如下的形式: 1 string url = "loginurl"; 2 StringBuilder sb = new StringBui...
浅谈CSRF跨站点请求
a7412605567的博客
02-23 448
CSRF是什么? (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。...
CSRF攻击原理和防范措施
林见鹿鸣
08-31 2521
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 攻击原理 CSRF是如何发生的呢,我们以网银转账为例进行说明。 首选用户通过浏览器访问网银系统 用户在网银登录后.
csrf漏洞及ssrf漏洞
最新发布
03-30
CSRF漏洞(Cross-Site Request Forgery)是一种网络安全漏洞,攻击者利用已登录的用户的身份,在用户不知情的情况下,以用户的名义进行恶意操作。攻击者在第三方网站上构造一个恶意请求,当用户访问该第三方网站时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值