php安全(三):csrf攻击

最新推荐文章于 2024-05-26 08:00:00 发布
最新推荐文章于 2024-05-26 08:00:00 发布
阅读量928 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llllllloooooo/article/details/80539562
版权

    CSRF(Cross-site request forgery),中文名称:跨站请求伪造。首先要获取站点用户登录信息,然后冒充正常用户登录,进行破坏活动,受害方为正常用户和站点。

csrf攻击无法完全防范,只能提高攻击的门槛。

防御方法

1.改良站内 API 的设计 
     对于发布帖子这一类创建资源的操作,应该只接受 POST 请求,而 GET 请求应该只浏览而不改变服务器端资源。
最理想的做法是使用restful风格的 API 设计,GET、POST、PUT、DELETE 四种方法对应资源的读取、创建、更新、删除操作。现在的浏览器基本不支持在表单中使用 PUT 和 DELETE 请求方法,我们可以使用 ajax 提交请求,也可以使用隐藏域指定请求方法,然后用 POST 模拟 PUT 和 DELETE。
这样,不同的资源操作区分的非常清楚,集中处理非 GET 类型的请求即可。
2.检测http的头信息refer
3.验证码

4.CSRF token,请求令牌 


    Token 使用原则 
Token要足够随机————只有这样才算不可预测 
Token是一次性的,即每次请求成功后要更新Token————这样可以增加攻击难度,增加预测难度 
Token要注意保密性————敏感操作使用post,防止Token出现在URL中 

在表单中加入隐藏域,提交Token,然后在后端进行验证Token是否正确,注意,在验证后,Token就应该被销毁

与XSS的联系和区别:
联系 
1.CSRF可以利用XSS实现更有用的攻击。 
2.XSS是跨站脚本,是实现CSRF的一种方式,是在站点的输入域执行脚本攻击,那么站点就需要对输入域的字段进行过滤。

区别 
1.CSRF不是XSS的子类,他们的本质问题不一样。XSS本质是服务端对输入过滤不严而后输出的时候将客户端的脚本再输出。 
2.CSRF是服务端对用户的身份认证不严格(cookie等),使得攻击者冒充用户达到攻击目的。 
   防御CSRF的前提是防御XSS

南乡子_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
10-26
主要介绍了PHP开发中常见的安全问题详解和解决方法,详细介绍了例如Sql注入、CSRF、Xss、CC等攻击手段的背景知识以及解决方法,需要的朋友可以参考下
php csrf攻击,常见的CSRF攻击的原理,让我们一起来了解一下!
weixin_39856208的博客
03-17 232
CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会认为这是真正的用户操作而去运行。这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。其实可以这么理解CSR...
php csrf攻击教程,HTTP路由实例教程()—— CSRF攻击原理及其防护
weixin_28957063的博客
03-18 261
HTTP路由实例教程()—— CSRF攻击原理及其防护由 学院君 创建于5年前, 最后更新于 11个月前版本号 #377487 views92 likes0 collects1、什么是CSRF攻击CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。关于CSRF攻击原理及其防护,可查看Github上的这个项目:理解CSRF,说得比较详细和透彻。2、Larave...
pikachu靶场中的CSRF、SSRF通关
最新发布
qq_68163788的博客
05-26 1900
在Pikachu靶场中,CSRF(Cross-Site Request Forgery)和SSRF(Server-Side Request Forgery)是两种常见的Web安全漏洞。CSRF攻击利用用户在已认证的Web应用程序上执行未经意的操作,通过伪装请求来执行恶意操作,例如更改用户密码或发送资金。而SSRF漏洞则允许攻击者从受害服务器上执行请求,可能导致访问内部系统、绕过防火墙或执行其他恶意操作。
PHP 预防CSRF、XSS、SQL注入攻击(综合版)
chenrui310的博客
06-20 2602
【简约版】 主要通过校验用户输入信息,过滤用户输入信息,以及关闭错误信息显示等方法。 一、SQL注入:将恶意的SQL命令通过表单提交等方式注入到后台数据库引擎进行执行,从而泄露数据库信息 1.输入验证 2.错误消息处理 3.加密处理 4.使用专业的漏洞扫描工具 二、XSS:跨站脚本攻击,指恶意攻击者往Web页面里插入恶意代码,当用户浏览...
第二阶段 PHP代码审计之CSRF(客户端请求伪造)
qq_22132931的博客
11-24 623
PHP代码审计之CSRF(客户端请求伪造)
csrf攻击防御 php,【技术分享】从开发角度浅谈CSRF攻击及防御
weixin_30213477的博客
03-10 189
什么是CSRFCSRF可以叫做(跨站请求伪造),咱们可以这样子理解CSRF攻击者可以利用你的身份你的名义去发送(请求)一段恶意的请求,从而导致可以利用你的账号(名义)去–购买商品、发邮件,恶意的去消耗账户资源,导致的一些列恶意行为.CSRF可以简单分为Get型和Post型两种。Get型CSRF:看到这个名字,很明显是发送GET请求导致的。我这里简单的说一下:GET型的CSRF利用非常简单,通常只...
WP-CSRF-Protector:缓解CSRF的Wordpress插件
05-10
因此,如果您安装此插件,则尽管安装了另一个易受攻击的插件(CSRF),您的博客仍将是安全的。 如何测试/安装 克隆此仓库https://github.com/mebjas/WP-CSRF-Protector.git 压缩目录 转到WordPress管理面板>插件>...
一个php安全过滤类库
05-04
CSRF攻击利用了用户的登录状态,使其在不知情的情况下执行非预期的操作。类库通常提供CSRF令牌生成和验证功能,以确保只有预期的请求才能被执行。 8. 输入过滤与清理: 类库可能包含去除HTML标签、JavaScript代码...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
因此,`login.php`需要包含防止CSRF攻击安全措施,例如使用CSRF令牌。 CSRF令牌是一种验证机制,每个表单提交时都应携带一个独一无二且难以预测的令牌。在`index.html`和`exciting.html`中,可以看到表单的示例,...
信息安全技术:PHP伪协议.pptx
11-01
然而,这可能导致跨站请求伪造(CSRF攻击,因此建议使用安全的API和验证机制来保护这些操作。 3. ftp:// - 访问FTP(s) URLs `ftp://`协议支持与FTP服务器的交互,这在需要上传或下载文件时很有用。然而,FTP通信...
PHP代码审计 ------------CSRF漏洞
qq_62344745的博客
04-17 220
CSRF( Cross-site request forgery)跨站请求伪造,也有人写出XSRF。黑客伪造用户木匾用户的HTTP请求。然后将这个HTTP请求发送给存在CSRF的网站,有CSRF的网站执行了伪造的HTTP请求,就引发了跨站请求伪造相对来说,比xss更具有危害性,
请解释PHP中的表单令牌(CSRF令牌)
周祥平程序专栏
01-17 564
PHP中,通过生成和验证表单令牌可以有效地防止恶意用户利用用户身份进行非授权的操作。可以通过比较请求中的令牌与服务器端存储的令牌是否一致来进行验证。如果令牌不匹配,说明表单请求可能是恶意的,服务器可以拒绝该请求或者采取其他措施。为了增加安全性,每个令牌应该是唯一的,并且每次请求都应该生成一个新的令牌。通过实现表单令牌的验证机制,可以防止恶意用户利用用户身份执行非授权的操作,提高网站的安全性。在PHP中,可以使用内置的。在生成表单页面时,服务器会生成一个随机的令牌,并将其嵌入到表单的隐藏字段中。
如何在PHP中进行跨站请求伪造(CSRF)防护?
周祥平程序专栏
12-21 506
您应该仔细评估您的应用程序,根据需要选择适当的防护方法,并进行定期的安全审查和测试,以确保您的应用程序免受CSRF攻击的威胁。跨站请求伪造(CSRF)是一种安全漏洞,攻击者通过伪装请求来利用已认证的用户的权限执行未经授权的操作。您可以检查请求的HTTP Referer头来确保请求来自合法的来源。如果您使用PHP框架(例如Symfony、Laravel等),它们通常提供了内置的CSRF保护机制,可以简化您的工作。对于敏感操作,可以要求用户输入验证码,以确保用户的操作是有意的,而不是来自CSRF攻击
php防范csrf攻击,PHP开发中csrf攻击的简单演示和防范
weixin_26766909的博客
03-10 717
csrf攻击,即cross site request forgery跨站(域名)请求伪造,这里的forgery就是伪造的意思。网上有很多关于csrf的介绍,比如一位前辈的文章CSRF攻击方式详解,参考这篇文章简单解释下:csrf 攻击能够实现依赖于这样一个简单的事实:我们在用浏览器浏览网页时通常会打开好几个浏览器标签(或窗口),假如我们登录了一个站点A,站点A如果是通过cookie来跟踪用户的会...
PHP 预防CSRF、XSS、SQL注入攻击
云博客_资源宝分享
10-10 1517
1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
phpcsrf
weixin_33725239的博客
12-26 86
csrf(跨站请求伪造) 例: 你的网站添加用户是get方式进行添加,我发了一个链接让你点击下, 有可能就添加一个用户,为什么???这就是csrf。 当然这个连接不是里面的内容肯定是***者精心构造好的页面 例 <img src="url/add.php?username=0x007.blog.51cto.com&password=0x007...
PHP表单token验证防CSRF攻击
高性价比服务器就选:蓝易云
04-01 338
这种攻击方式的危害性很大,因此,对于Web开发者来说,了解并实施有效的防御措施是非常重要的。然而,它并不是万能的,还需要配合其他的安全措施,如使用HTTPS、设置正确的CORS策略等,才能提供全面的安全保护。表单令牌是一种服务器生成的随机字符串,每次生成表单时,都会在服务器上创建一个新的令牌,并将其嵌入到表单中。如果匹配,则表单提交是合法的,否则,服务器将拒绝表单提交。这可以通过比较提交的令牌和会话中存储的令牌来实现。如果它们匹配,则表单提交是合法的,否则,我们应该拒绝表单提交,并向用户显示一个错误消息。
PHP代码审计:CSRF漏洞深度解析
DocCms2016在\doccms\admini\controllers\system\back.php的export函数中,没有对请求来源进行有效验证,直接处理了tables/sizelimit参数,从而可以被攻击者利用进行数据库备份的CSRF攻击攻击者可以构造一个恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值