CSRF讲解No.9

最新推荐文章于 2023-02-22 21:01:00 发布
最新推荐文章于 2023-02-22 21:01:00 发布
阅读量226 收藏
点赞数
分类专栏: 网络协议学习篇
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38004619/article/details/103408394
版权

A(被攻击网站) B(恶意攻击网站)

一、想要攻击得具备什么条件

  1. 用户已经登录A网站,并生成cookie信息(一般包含了一个session_id和服务端会话)
  2. B网站得有一个专门攻击A网站的脚本(这个脚本包含A网站的某个接口地址和请求参数)
  3. B网站必须诱导用户点击这个脚本才能攻击A网站(因为用户的浏览器存有cookie信息)

二、怎么防范

  1. 通过请求header的Referer参数判断是不是自己网站发起的请求。
  2. 通过token方式验证

    1. 在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,

      如果请求中没有token或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。

    2. 这种方法要比检查Referer 要安全一些,token 可以在用户登陆后产生并放于session之中,然后在每次请求时把token 

      从 session 中拿出,与请求中的 token 进行比对

小雨喳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF超级细致的讲解
wo41ge的博客
09-21 629
Cookie 属性 key 值 value 键 expires Cookie的持续时间 有效时间 domain Cookie的有效域名 path 哪些路径会携带Cookie secure httponly samesite 防止csrf的攻击 同源策略 域名 协议和端口相同 传统的csrf拿不到数据 (服务端)跨站请求伪造:Cross-Site Request Forgery 客户端请求伪造:Client-Side Request Forgery 即通过各种方式在客服端利用受害者的凭证发起请求 既
CSRF详解
幽雨雨幽
10-23 662
What's CSRFCSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。 洞的成因就是网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要是访问这个网站,都会默认你已经登录的状态。而在这
CSRF 攻击的应对之道
java旅程
09-06 488
转载自:http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 **CSRF 攻击实例**
CSRF简介
热门推荐
qq_45803593的博客
05-12 4万+
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
浅谈CSRF跨站点请求
a7412605567的博客
02-23 454
CSRF是什么? (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。...
csrf相关
lianyangfeng的专栏
06-24 170
csrf需要的三个条件:1. 找个理由,让用户点击,触发用户点击。2. 认证仅采用了cookie的方式,没有采用其他方式,即使是session也只在cookie中。这点是关键。3. 知道请求包的参数。去过请求包中有X-CSRF-TOKEN、Referer,就不可以用csrf了。......
CSRF学习
bianxia123456的博客
02-22 237
WEB安全
关于CSRF
坑底Z蛙
09-19 132
As an example, let’s say that an email provider lets you delete your account by submitting a form. The form sends a POST request to an account_delete endpoint on their server and deletes the account t...
CSRF
时光偏执的博客
01-16 1万+
CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。 CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤 在客户端向...
CSRF 详情讲解 !!!
weixin_52834606的博客
09-05 3120
CSRF 详解 ! spring security 攻击
CSRF的攻击和防御
weixin_49527298的博客
06-27 577
CSRF:跨站请求伪造,伪造用户请求登录页面 CSRF攻击可以伪造当前用户的行为,让目标服务器以为请求为当前用户发起,并利用当前用户权限实现业务请求伪造。 CSRF攻击,先是攻击者伪造一个恶意攻击页面,当用户点击时会自动向当前用户的服务器提交一次伪造的业务请求,从而获取用户的信息。 CSRF攻击的条件:(1)用户处于登录状态 (2)伪造的链接与用户一致 (3)后台未对用户业务开展合法性做校验 CSRF攻击场景: (1)当用户时管理员,黑客通过获得管理员权限去添加和删除用户的信息 (2)当
CSRF笔记
douyunqian668的博客
11-02 224
CSRF_ 笔记要点 内兜和外兜  Form请求和Ajax请求 代码如下:                                 {% csrf_token %}                                                        
CSRF verification failed. Request aborted.
最新发布
06-10
这个错误通常是由于 Django 网站中的 CSRF 保护机制而导致的。CSRF 是跨站请求伪造的缩写,是一种攻击方式,攻击者会利用用户已登录的身份在用户不知情的情况下发起一些恶意操作。Django 为了保护网站免受此类攻击,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值