CSRF漏洞-基础篇

最新推荐文章于 2022-03-17 00:21:50 发布
最新推荐文章于 2022-03-17 00:21:50 发布
阅读量108 收藏
点赞数
分类专栏: 网络对抗技术 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lm19770429/article/details/108469768
版权

什么是CSRF

      CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

      下图是一次完整的CSRF攻击示意图。用户登录并访问了一正常网站,登录成功后,网站返回用户的身份标识Cookie给用户。当用户访问到恶意网站时,恶意网站强制用户去向正常网站发送恶意请求。由于用户此时拥有正常网站的Cookie,所以就相当于攻击者盗用了用户身份,去访问了正常(目标)网站。

一次完整的CSRF攻击,需要受害用户需要完成两个步骤:

       1.登录正常网站,并在本地生成Cookie。

       2.在不退出正常网站的情况下,访问恶意网站。

 

花纵酒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF跨站请求伪造原理
W_seventeen的博客
02-24 358
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 下图是一次...
CSRF(跨站请求伪造)原理
weixin_62528361的博客
10-09 1274
CSRF攻击方式并不为大家所熟知,实际上很多网站都存在CSRF的安全漏洞。早在2000年,CSRF这种攻击方式已经由国外的安全人员提出,但在国内,直到2006年才开始被关注。
CSRF总结(一)
qq_43511094的博客
03-17 5050
文件包含漏洞相关知识总结 文件包含漏洞概念 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入 2. 文件包含漏洞的环境要求 allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据 allow_url_include=On(php5.2之后默认为Off) 规定是否允许include/require远程文件 常见文件包含函数 include() require() include_once
xss和csrf详解
weixin_33737774的博客
08-29 315
XSSCross site scripting,全称“跨站脚本”特点是不对服务器造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论时,提交含有js的内容文本,而服务器没有过滤掉或者转义掉这些脚本,作为内容发布到页面上,那么其他用户在访问的时候就会运行这些脚本。for example:​ // 用 <script type="text/javascript"></scrip...
渗透测试:通过Jmeter实现CSRF(Cross-site request forgery)跨站请求伪造攻击
qq19970496的博客
09-19 2819
首页介绍CSRF的攻击原理,我们才能更好进行攻击。 CSRF攻击原理 CSRF(Cross-site requestforgery跨站请求伪造,原理攻击者通过伪装成受信任用户向目标服务发送请求实现攻击。 攻击过程如下: **生成cookie:**用户A通过输入账号/密码登录网站web1,此时浏览器将登录状态记录到本地cookie中; **获取cookie:**攻击中构建一条恶意网站web2的链接,...
基础篇】第03篇:PHP代码审计笔记--CSRF漏洞1
08-03
1.空Referer绕过 2.判断Referer是某域情况下绕过 3.判断Referer是否存在某关键词 4.判断referer是否有某域名 2.利用xss漏洞
WEB安全基础-合集篇
10-23
WEB安全基础—合集篇,包含基础SQL注入、文件上传、XSS、CSRF、文件包含、逻辑漏洞等。适合新手上手参考学习,通过本文档,可以快速了解渗透测试。
spring-security3 入门篇
03-27
本入门篇将介绍Spring Security的基础知识,包括其核心概念、配置以及如何在实际项目中使用。 1. **核心概念** - **Authentication(认证)**: 用户身份验证是Spring Security的基础,它确认用户的身份是否合法。...
CISP-PTE注册信息安全专业人员渗透测试工程师-认证课件资料
最新发布
01-30
01.WEB安全简介 02.信息收集 03.漏洞扫描 ...05.SQL注入之基础篇 07.暴力破解 08.文件上传漏洞 09.命令执行漏洞 10.文件包含漏洞 11.社会工程学 12.ARP欺骗 13.xss跨站脚本漏洞 14.CSRF跨站请求伪造 15.SSRF
后端系列:服务端开发实践与工程架构,服务端基础篇|微服务与云原生篇| Spring篇Node.js篇| DevOps文章|信息安全与渗透测试篇
01-29
开发者需要了解常见的攻击手段,如SQL注入、跨站脚本(XSS)和跨站请求伪造(CSRF),并采取相应的防护措施。渗透测试是模拟黑客行为,检测系统漏洞的过程,它可以帮助识别并修复安全弱点。 总结来说,后端开发是一...
跨站请求伪造-CSRF防护方法
03-12
跨站请求伪造-CSRF防护方法跨站请求伪造-CSRF防护方法
csrf(跨站请求伪造)的原理与防范
weixin_39944891的博客
07-17 617
转载地址:https://www.cnblogs.com/collin/articles/9637999.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送...
跨站请求伪造(CSRF)示例、原理及其防御措施
laker的博客
03-04 1968
文章目录概述例子原理防御使用token验证判断Referer/OriginSameSite Cookie属性 概述 CSRF是Cross Site Request Forgery的缩写,中文翻译过来是跨站请求伪造。它欺骗用户在当前已通过身份验证的Web应用程序上执行不需要的操作。在社交软件的帮助下(例如通过电子邮件或聊天发送链接),攻击者可能会欺骗Web应用程序的用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF攻击会迫使用户执行状态更改请求,例如转账,更改其电子邮件地址等。如果受害者是管理帐
web安全之跨站请求伪造_CSRF
01-23 60
CSRF(Cross-site request forgery),中文名称:跨站请求伪造也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。因为这个不是...
CSRF常见攻防姿势总结
乐枕的家
03-01 3079
攻击点referrer绕过 无验证 http: //xxx.weibo.com(.cdxy.me) (http: //cdxy.me?)http: //xxx.weibo.com 新浪微博CSRF之点我链接发微博(可蠕虫) 捕捉token如token通过get方法在url中显示时,常见方法是通过referrer偷token利用本身来说CSRF漏洞是广泛存在的,一般将其归类为“低危”,但只要利用的
CSRF学习总结
weixin_41865447的博客
06-21 667
CSRF攻击:Cross-Site Request Forgery。中文解释为:跨站请求伪造,具体流程如下图也就是说CSRF攻击具备两个默认条件:1.黑客没有暴力获取用户存储在浏览器中的cookie,同源策略仍然能有效保护2.黑客无法获取用户直接访问A网站获取的响应,也就是说黑客也不能从响应中解析出任何有关用户的认证信息得出的结论是黑客能做的就是做一个恶意网站,当用户访问这个恶意网站的时候,点击了...
跨站请求伪造(CSRF)——常见网站攻击手段原理与防御
guugle2010的专栏
04-10 1029
跨站请求伪造(CSRF)原理与防御 Web的隐式身份验证机制只能保证一个请求是来自于某个用户的浏览器,但是无法保证请求是用户批准的。
CSRF跨站请求伪造原理 和 防范措施
晓康的博客
08-14 495
1.什么是CSRFCSRF:Cross-site request forgery (跨站请求伪造) 利用网站对已认证的权限去执行未授权的命令的一种恶意攻击 攻击者会盗用你的登记信息,以你的身份模拟发送请求。比如转账汇款操作 web 身份认证机制只能识别一个请求是否来自某个用户浏览器,但是无法保证请求是用户自己或者批准发送的 图解:左边是用户,右边是需要登陆的...
跨站点请求伪造攻击的原理及防御
天外来客的博客
08-28 3763
攻击原理 跨站点请求伪造(Cross Site Request Forgery,简称CSRF)能够形成的根本原因是利用了浏览器cookie自动发送的特点。如果浏览器cookie中保存了用户信息,该攻击利用了cookie共享机制获取了用户信息,因此可以正常通过系统的鉴权认证,实现非法操作。 下面以网上银行转账的例子来说明该攻击的流程。 1.小明在网上银行(bank.com)转账,浏览器cookie记...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值