【学习笔记】CSRF漏洞

最新推荐文章于 2024-07-06 00:06:29 发布
最新推荐文章于 2024-07-06 00:06:29 发布
阅读量134 收藏
点赞数
分类专栏: 网络安全从入门到入门 文章标签: 学习 csrf 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53223419/article/details/129649341
版权

CSRF:跨站请求伪造

*同源策略
三个相同指的是:
1. 协议相同
2. 域名相同
3. 端口相同

目的:
为了保证用户信息安全,防止恶意的网站窃取数据

限制范围:
1. cookie、LocalStorage和IndexDB无法读取
2. Dom无法获得
3. AJAX请求不能发送

*有些合理的用途也会受到影响

cookie的两个重要属性
domain:当前要添加的cookie的域名归属,如果没有明确指明则默认当前归属
path:当前要添加的cookie的路径归属,如果没有明确指明则默认当前路径

浏览器提交cookie需要满足以下两点
1. 当前域名或父域名下的cookie
2. 当前路径或父路径下的cookie
*跨域并不能获取到cookie

CSRF原理:
黑客利用已经登录的用户,诱使其访问或者登录某个早已构造好的恶意链接或者页面,然后在用户毫不知情的情况下,以用户的名义完成了非用户本意的非法操作。

一个CSRF漏洞攻击的实现,其需要由“三个部分”来组成:
1. 有一个漏洞存在(无需验证、任意修改后台数据、新增请求)
2. 伪装数据操作请求的万一链接或者页面
3. 诱使用户主动访问或登录恶意链接,出发非法操作

CSRF漏洞的目的:
利用已存在的漏洞构造了一个“恶意链接”或“html页面”,然后诱使用户点击触发此漏洞。

目标站点存在一个漏洞(CSRF),攻击者利用此类漏洞伪装了一个链接或者html页面,诱使被攻击者在登录的情况下(即当前cookie有效的情况下)点击了此伪装请求,随后在用户不知情的情况下完成了对当前用户数据的修改或者新增操作,而被修改的信息可能是用户的密码、关键信息又或者新增后台管理员等。

如有错误,欢迎批评指正[鞠躬]

夏夏的江江
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF漏洞学习笔记
m0_47599604的博客
03-22 230
目录 csrf漏洞介绍 CSRF简介 危害 分类 原理 csrf漏洞靶场实战 csrf挖掘及修复 漏洞条件 挖掘方法 修复方法 扩展 AJAX 同源策略 csrf漏洞介绍 CSRF简介 CSRF(cross-site request forgery)跨站请求伪造,也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的web应用程序上执行本意的操作的攻击方法。 跟跨网站脚本(XSS)
CSRF漏洞基础学习笔记
部分学习记录
08-05 457
CSRF原理 CSRF漏洞定义 CSRF(Cross-site request forery,XSRF)跨站请求伪造,也被称为One Click Attack或Session Riding。 CSRF与XSS的区别: 1、XSS利用站点内的信任用户,盗取cookie 2、CSRF通过伪装成受信任的用户请求受信任的网站 CSRF漏洞原理 利用目标用户的合法身份,以目标用户的名义执行某些非法操作 例如: 转账链接:http://www.xxx.com/pay.php?user=xx&money=100
CSRF 漏洞学习笔记
qq_32812063的博客
11-24 578
CSRF笔记
csrf学习笔记(Python)
zhagn_zhen的博客
11-21 59
用户的每一个请求都会刷新token,因此为了获取新鲜可用的token,采用ajax或者引入jQuery进行异步提交,不刷新用户页面的情况下先获取token,再进行信息修改。2、用外部引入js的形式,写进用户的服务器中(下面仅仅是举个例子,实际中要找用户服务器上我们可以进行输入的地方,比如服务器上的留言、发帖等可以被用户加载到的地方)1、用户愿意点击链接(如果对方服务器存在xss漏洞,写一个存储型xss,只要用户加载页面就会实施我们伪造的请求,不过既然都写存储型了,何必再用csrf
【安全牛学习笔记CSRF
edu_aqniu的博客
09-30 519
CSRF                                          Cross-site request forgery                与XSS经常混淆                                  从信任的角度来区分                                XSS:利用用户对站点的信任   
web安全学习笔记.pdf
09-20
"Web 安全学习笔记" Web 安全学习笔记是关于网络安全的综合性学习笔记,涵盖了 Web 安全的基础知识、常见威胁、防御策略等方面的内容。下面将详细介绍该笔记中所涉及的知识点: 一、Web 安全基础 * Web 安全定义...
shiro学习笔记
12-20
- **安全最佳实践**:学习如何避免常见的安全漏洞,如CSRF、XSS等,以及如何进行安全配置优化。 这个"shiro学习笔记"涵盖了Shiro的基本使用到高级特性,通过学习,你将能够熟练地运用Shiro来保障你的Web应用的安全...
Web安全学习笔记
11-03
《Web安全学习笔记》 在当今数字化的时代,Web安全已经成为每一个互联网用户,特别是开发者和网络安全专业人员必须关注的重要领域。Web安全主要涉及保护Web应用程序免受各种攻击,如SQL注入、跨站脚本(XSS)、跨站...
s2sh 个人学习笔记
07-31
这篇个人学习笔记主要涵盖了Struts2的基础知识、核心概念以及常见应用。 首先,Struts2的核心组件包括Action、Result、Interceptor(拦截器)等。Action是业务逻辑的载体,它接收用户请求并处理后返回结果。Result...
Web安全学习笔记.pdf
10-22
《Web安全学习笔记》是一份全面介绍Web安全的资料,涵盖了从基础知识到深入技术的多个层面。本笔记首先概述了Web技术的演进历程及其安全挑战的发展,强调了网络安全的重要性。接下来,它深入探讨了计算机网络的基础...
昇思MindSpore学习笔记2-01 LLM原理和实践 --基于 MindSpore 实现 BERT 对话情绪识别
muren的专栏
07-02 1067
通过识别BERT对话情绪状态的实例,展现在昇思MindSpore AI框架中大语言模型的原理和实际使用方法、步骤。
短链接学习day2
weixin_63374588的博客
07-05 826
需要注意的是,转换过程中,BeanUtil.toBean()方法通过反射机制创建了目标类型的实例,并将数据源对象的属性值复制到目标对象中。但是为了防止redis的主节点挂掉后,从节点变成主节点时,有些数据还没复制,就会导致脏数据,就会可能导致用户名重复,所以为了防止这个情况,我们需要将username设置为唯一索引,让数据库兜底。因为用户名不是特别重要的数据,如果说我设置用户名为 aaa,系统返回我不可用,那我大可以在 aaa 的基础上再加一个a,也就是 aaaa。一定要记得写枚举的时候是用逗号分割。
【PB案例学习笔记】-27制作一个控制任务栏显示与隐藏的小程序
再小的帆也能远航,把分享变成一种习惯
07-03 368
这是PB案例学习笔记系列文章的第27篇,该系列文章适合具有一定PB基础的读者。通过一个个由浅入深的编程实战案例学习,提高编程技巧,以保证小伙伴们能应付公司的各种开发需求。
黑马点评学习过程汇总——Cookie \ Session \ Token的区别
weixin_45791946的博客
07-02 371
在后续的请求中,前端发往后端的请求中都携带token,后端拿到token后进行jwt的解密并验证signature,如果检验成功信息没有被篡改,就会放行。,自动存储session信息到cookie中。Token不依赖于session和cookie,对集群和前后端分离架构友好。前端发起登录请求到后端,后端对前端携带来的信息进行认证,认证成功后会生成。我们往session中存储用户信息,服务器端保存session并通过。头部,Payload负载,Signature签名 )并以。(4)Session的弊端。
昇思25天学习打卡营第4天|应用实践
u013563715的博客
07-04 758
BERT全称是来自变换器的双向编码器表征量(Bidirectional Encoder Representations from Transformers),它是Google于2018年末开发并发布的一种新型语言模型。与BERT模型相似的预训练语言模型例如问答、命名实体识别、自然语言推理、文本分类等在许多自然语言处理任务中发挥着重要作用。模型是基于Transformer中的Encoder并加上双向的结构,因此一定要熟练掌握Transformer的Encoder的结构。
昇思MindSpore学习笔记3-02热门LLM及其他AI应用--K近邻算法实现红酒聚类
muren的专栏
07-03 934
介绍了K近邻算法,记录了MindSporeAI框架使用部分wine数据集进行KNN实验的步聚和方法。包括环境准备、下载红酒数据集、加载数据和预处理、搭建模型、进行预测等。
240705_昇思学习打卡-Day17-基于 MindSpore 实现 BERT 对话情绪识别
最新发布
weixin_66378701的博客
07-06 560
BERT全称是来自变换器的双向编码器表征量(Bidirectional Encoder Representations from Transformers),它是Google于2018年末开发并发布的一种新型语言模型。与BERT模型相似的预训练语言模型例如问答、命名实体识别、自然语言推理、文本分类等在许多自然语言处理任务中发挥着重要作用。模型是基于Transformer中的Encoder并加上双向的结构,因此一定要熟练掌握Transformer的Encoder的结构。
拓扑学习系列(1)拓扑球与拓扑环面与同胚
追赶时代的博客
07-02 460
拓扑球 Topological Sphere 拓扑环面 Topological Torus 同胚 homeomorphism
学习笔记(linux高级编程)11
qq_62143038的博客
07-03 487
key值 ==> 申请 ==》读写 ==》关闭 ==》卸载。功能:通过该函数可以给pid进程发送信号为sig的系统信号。、信号 kill -l ==>前32个有具体含义的信号。参数:pathname 路径+名称===》任意文件,只要不会。当前程序要发送的信号编号 《=== kill -l。本地可用的地址,如果不确定则用NULL,表示。共享内存 ===》效率最高的进程间通信方式。》申请对象 ==》映射对象==》读写对象。整形的数字,一般用ASCII码的单字符。参数:pid 要接收信号的进程pid。
csrf漏洞dvwa
09-13
CSRF(Cross-Site Request Forgery)是一种常见的Web应用程序安全漏洞,导致攻击者利用受害者的身份执行恶意操作。DVWA(Damn Vulnerable Web Application)是一个故意设计的Web应用程序,用于演示各种Web安全漏洞。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值