先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
1定义
Crose-Site Request Forgery,跨站请求伪造,攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行不知情的请求。
在CSRF的攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行点击。用户一旦点击整个攻击也就完成了。所以CSRF攻击也被称为"one click"攻击。
二与XSS的区别
(1)XSS是利用用户对服务端的信任,CSRF是利用服务端对用户的信任。
XSS的攻击,主要是让脚本在用户的浏览器上执行,服务器端仅仅是脚本的载体,本身服务器端不会受到攻击利用。
CSRF攻击,攻击者会伪造一个用户发送给服务器的正常连接,其核心主要是要利用已登录(已认证)的用户去发送请求。CSRF不需要知道用户的Cookie,CSRF自己并不会发请求给服务器,一切交给用户。
(2)XSS是将恶意代码植入被攻击的服务器,利用用户对服务器的信任完成攻击。而CSRF是攻击者预先在自己攻击服务器的页面植入恶意代码,诱使受害者访问,在受害者不知情的情况下执行了恶意代码。而攻击服务器是独立的域名和ip地址。
三攻击要点
(1)服务器没有对操作来源进行判断,如IP,Referer
(2)受害者处于登陆状态,但是攻击者无法拿到Cookie
(3)攻击者需要找到一条可以修改或获取敏感信息的请求
二攻击场景
(1)图图在X宝上修改个人资料,正常情况下修改资料的第一部是登录账号,图图登录后对相关参数进行修改:
收货姓名:壮壮妈
收货电话:1357582885542
收货地址:翻斗大街翻斗花园二号楼1001室
图图编辑好修改的内容,点击提交
此时提交的url请求为
http://www.xbao.com/member/edit.php?name=壮壮妈&phone=1357582885542&add=翻斗大街翻斗花园二号楼1001室 &submit=submit
(2)这时牛爷爷想截获图图的包裹,所以他要去修改图图的收货地址,科三他没有图图的账号权限,那么他会怎么做呢?
- 牛爷爷发现这个网站存在csrf漏洞;
- 牛爷爷先确认图图还处于登陆状态;
- 接着牛爷爷将修改个人信息的请求伪造,然后引诱图图在登陆状态下点击
此时图图提交的url请求为:
http://www.xbao.com/member/edit.php?name=牛爷爷&phone=13152527979&add=翻斗大街翻斗花园二号楼1002室
这个请求和正常的修改请求一模一样,而且又是图图自己的账号,所以修改成功,牛爷爷达到了攻击目的。
(3)为什么牛爷爷能攻击成功?
- x宝没有对个人信息修改的请求进行防CSRF处理,导致该请求容易伪造。因此,我们判断一个网站是否存在CSRF漏洞,其实就是判断其对关键信息(尤其是密码等敏感信息)的操作(增删改)是否容易被伪造。
- 图图处于登陆状态,并且点击了牛爷爷发送的埋伏链接。
如果受害者不处于登录状态或不在权限控制下,亦或者不点埋伏链接,那么攻击不会成功。
(4)CSRF漏洞但看之下的利用比较局限,但是和其他漏洞结合起来,威胁性也很大。
牛爷爷决定直接发链接太明显,会被图图轻松识破,于是他利用Burpsuite的功能模块做了一个钓鱼网站:
- 使用burp suite的engagement tools制作一个csrf攻击钓鱼网站;
- 牛爷爷给图图发送这个页面,引诱图图在没有退出的情况下访问钓鱼页面;
- 图图点击了钓鱼网站中的恶意表单,从而在不知情的情况下执行了修改信息请求。
CSRF是借助受害者的权限完成攻击,攻击者全程都没有拿到受害者的权限,而XSS一般直接通过获得用户权限实施破坏。
CSRF相比XSS来说不是很留下,所以对于CSRF防范的措施较少,因此CSRF比XSS更具有危险性。
三用burp suite制作钓鱼页面
1.进入DVWA靶场(安装详情可以在网上搜索,非常简单)点击DVWA Security将难度修改为low
2.进入CSRF界面
3.可以看到这是一个修改密码的界面,并且只需要处于登陆状态就可以修改密码,无需其他校验,形成了CSRF漏洞,接下来修改密码,并用burp抓包
4.选择CSRF PoC生成
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
👆**
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
[外链图片转存中…(img-jmWDxPEf-1713310718641)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
1844
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
