CSRF面试题

最新推荐文章于 2024-05-14 04:22:30 发布
最新推荐文章于 2024-05-14 04:22:30 发布
阅读量497 收藏 4
点赞数
文章标签: csrf 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61990875/article/details/127756756
版权

CSRF跨站请求伪造原理

攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。

与XSS的区别

XSS是利用用户对服务端的信任,CSRF是利用服务端对用户的信任。

XSS的攻击,主要是让脚本在用户浏览器上执行,服务器端仅仅只是脚本的载体,本身服务器端不会受到攻击利用。

CSRF攻击,攻击者会伪造一个用户发送给服务器的正常链接,其核心主要是要和已登录(已认证)的用户去发请求。CSRF不需要知道用户的Cookie,CSRF自己并不会发请求给服务器,一切交给用户。

攻击要点

(1)服务器没有对操作来源进行判断,如IP,Referer等

(2)受害者处于登录状态,但是攻击者无法拿到Cookie

(3)攻击者需要找到一条可以修改或获取敏感信息的请求

如何防御CSRF

(1)避免在URL中明文显示特定操作的参数内容;

(2)使用同步令牌(Synchronizer Token),检查客户端请求是否包含令牌及其有效性;(常用的做法,并且保证每次token的值完全随机且每次都不同)

(3)检查Referer Header,拒绝来自非本网站的直接URL请求。

(4)不要在客户端保存敏感信息(比如身份认证信息);

(5)设置会话过期机制,比如20分钟无操作,直接登录超时退出;

(6)敏感信息的修改时需要对身份进行二次确认,比如修改账号时,需要判断旧密码;

(7)敏感信息的修改使用post而不是get

(8)避免交叉漏洞, 如XSS等

(9)禁止跨域访问

(10)在响应中设置CSP(Content-Security-Policy)内容安全策略

如何防御CSRF

(1)避免在URL中明文显示特定操作的参数内容;

(2)使用同步令牌(Synchronizer Token),检查客户端请求是否包含令牌及其有效性;(常用的做法,并且保证每次token的值完全随机且每次都不同)

(3)检查Referer Header,拒绝来自非本网站的直接URL请求。

(4)不要在客户端保存敏感信息(比如身份认证信息);

(5)设置会话过期机制,比如20分钟无操作,直接登录超时退出;

(6)敏感信息的修改时需要对身份进行二次确认,比如修改账号时,需要判断旧密码;

(7)敏感信息的修改使用post而不是get

(8)避免交叉漏洞, 如XSS等

(9)禁止跨域访问

(10)在响应中设置CSP(Content-Security-Policy)内容安全策略

JSONP跨域访问漏洞

产生JSONP攻击的核心在于没有对调用方进行校验

利用回调函数

所以需要对回调函数的名称进行严格的限制,比如限制其长度,查询其关键词,或者使用白名单

CORS跨域访问漏洞漏洞

CORS漏洞主要是由于配置错误而引起的。所以,预防漏洞变成了一个配置问题。下面介绍了一些针对CORS攻击的有效防御措施。

  1. 正确配置跨域请求
    如果Web资源包含敏感信息,则应在Access-Control-Allow-Origin标头中正确指定来源。
  2. 只允许信任的网站
    看起来似乎很明显,但是Access-Control-Allow-Origin中指定的来源只能是受信任的站点。特别是,使用通配符来表示允许的跨域请求的来源而不进行验证很容易被利用,应该避免。
  3. 避免将null列入白名单
    避免使用标题Access-Control-Allow-Origin: null。来自内部文档和沙盒请求的跨域资源调用可以指定null来源。应针对私有和公共服务器的可信来源正确定义CORS头。
  4. 避免在内部网络中使用通配符
    避免在内部网络中使用通配符。当内部浏览器可以访问不受信任的外部域时,仅靠信任网络配置来保护内部资源是不够的。
  5. CORS不能替代服务器端安全策略
    CORS定义了浏览器的行为,绝不能替代服务器端对敏感数据的保护-攻击者可以直接从任何可信来源伪造请求。因此,除了正确配置的CORS之外,Web服务器还应继续对敏感数据应用保护,例如身份验证和会话管理。

ssrf服务器请求伪造原理

SSRF(Server-Side Request Forgery:服务器端请求伪造)其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制。
导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。比如从指定URL地址获取网页文本内容,扫描内网是否可用,端口是否开放等操作。

数据流:攻击者----->服务器---->目标地址
SSRF常见的函数
file_get_contents();
fsockopen();
curl_exec();

这些函数的共同特点就是可以通过一些网络协议去远程访问目标服务器上的资源,然后对资源进行处理。

SSRF主要危害

(1)可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息;

(2)攻击运行在内网或本地的应用程序(比如溢出);

(3)对内网Web应用进行指纹识别,通过访问默认文件实现;

(4)攻击内外网的Web应用,主要是使用Get参数就可以实现的攻击(比如Struts2漏洞利用,SQL注入等);

(5)利用file,dict,gopher,http,https等协议读取本地文件,访问敏感目标,反弹shell等高危操作。

xxe外部实体漏洞

XXE(XML External Entity Injection)也就是XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时

服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理

导致可加载恶意外部文件 和 代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起DOS攻击等危害。

XML语法规则

(1)XML 文档必须有一个根元素

(2)XML 元素都必须有一个关闭标签

(3)XML 标签对大小敏感

(4)XML 元素必须被正确的嵌套

(5)XML 属性值必须加引导

XML文档结构包括XML声明、DTD文档类型定义、文档元素

m0_61990875
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(三)CSRF相关面试题
qq_51577576的博客
11-28 1279
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(二)XSS注入相关面试题 渗透方向的岗位,涉及到的知识点是很广泛的。 这里我总结了整个一系列的面试题,可能没有覆盖到全部的知识面,但是应该是比较全面的,本文主讲解web漏洞CSRF方向的面试题。 如果整个系列的问题搞懂了大部分,那找个网安方向的工作基本上没什么问题了。 当然了,可能也不是说这些问题都会被问到,但这些题目都是和网安岗位相契合的。
前端面经 关于CSRF攻击的原理和防范(1),面试题目100及最佳答案
m0_60607927的博客
04-14 858
由于访问请求一定会带上Cookie给服务器端即WebA,且Cookie实际上已经被攻击者WebB盗用了,所以WebA却无法判断该请求是User还是攻击者WebB发出的。可以在请求中添加攻击者无法伪造的信息,并且这些信息不存在于Cookie中,而是保存在session中(session在服务器端,更加安全)。如果验证后,发现Refer字段指向的是其它网站,那么就有可能是攻击者通过恶意网站发送的恶意请求。那么网站通过验证HTTP Refer字段,以确定请求是来自自己的网站,而不是来自第三方网站,就可以了。
前端网络安全面试题CSRF 与 XSS(1)
最新发布
2401_84969746的博客
05-14 840
跨站请求伪造是一种攻击手段,攻击者通过恶意构造一个链接或表单,诱使用户在已登录的目标网站上执行非本意的操作。当用户点击或提交这个恶意内容时,浏览器会自动带上用户的认证凭据(如session cookie),服务器误以为这是用户自己发起的合法请求,从而执行了攻击者设计的操作。例如,攻击者可能通过CSRF获取用户的转账权限,在用户不知情的情况下转走账户资金。防范措施使用CSRF令牌:服务器端为每个敏感操作生成一个一次性使用的随机令牌,并将其附加到表单中或作为Cookie的一部分发送给客户端。
面试题:什么是CSRF攻击,如何避免
jakelihua
06-11 231
明确数据范围:在使用HTTP协议进行请求时,为了防止 Cross-site Request,需要在 HTTP 请求头中加入一个随机的 token 作为校验码,在服务端比较 token 值与 cookie 中存储的值是否相同,若不同则拒绝请求。综上所述,为了防止CSRF攻击,我们应该养成使用 HttpOnly 属性的 cookie 以及在cookie中存储数据范围及请求随机 token 的良好习惯,此外合适地设计url结构来限制用户表单提交也是一种有效方法。
彻底理解前端安全面试题(2)—— CSRF 攻击,跨站请求伪造攻击详解,建议收藏(含源码)
qq_17335549的博客
01-02 2222
前端关于网络安全看似高深莫测,其实来来回回就那么点东西,我总结一下就是 3 + 1 = 4,3个用字母描述的【分别是 XSS、CSRF、CORS】 + 一个中间人攻击。当然 CORS 同源策略是为了防止攻击的安全策略,其他的都是网络攻击。除了这 4 个前端相关的面试题,其他的都是一些不常用的小喽啰。我将会在我的《面试题一网打尽》专栏中先逐一详细介绍,然后再来一篇文章总结,预计一共5篇文章,欢迎大家关注~本篇文章是前端网络安全相关的第一篇文章,内容就是 CSRF 攻击。
网络安全面试题及答案
m0_48368237的博客
12-23 2927
防范常见的 Web 攻击 重要协议分布层 arp 协议的工作原理 rip 协议是什么? rip 的工作原理 什么是 RARP? 工作原理 OSPF 协议? OSPF 的工作原理 TCP 与 UDP 区别总结 什么是三次握手四次挥手? tcp 为什么要三次握手? dns 是什么? dns 的工作原理 一次完整的 HTTP 请求过程 Cookies 和 session 区别 GET 和 POST 的区别 HTTPS 和 HTTP 的区别 session 的工作原理? http 长连接和短连接的区别 OSI 的七
(十三)跨域资源共享(CORS)
weixin_43047908的博客
04-17 946
目录一、什么是CORS(跨域资源共享)?同源政策二、由CORS配置问题引起的漏洞服务器生成的来自客户端指定的Origin头的ACAO头 一、什么是CORS(跨域资源共享)? 跨域资源共享(CORS)是一种浏览器机制,可实现对位于给定域外部的资源的受控访问。它扩展了同源策略(SOP)并增加了灵活性。但是,如果网站的CORS策略配置和实施不当,它也可能带来基于跨域的攻击。CORS并不是针对跨域攻击(例如跨站点请求伪造(CSRF))的保护措施。 同源政策 同源策略是一种限制性的跨域规范,它限制了网站与源域之外的
python工程师面试题汇总
11-26
【Python工程师面试题汇总】 面试是评估候选人在Python编程领域技能的重要环节,涵盖基础到高级的知识点。以下是一些常见的Python面试题目及其相关的知识点: ### Python基础知识面试 1. **Python语法特性**:...
php面试题题库
03-01
- CSRF与XSS防护:理解这两种攻击方式并能采取防范措施。 - 密码安全:使用password_hash()和password_verify()处理用户密码。 以上知识点构成了PHP面试题库的基础,求职者需要对这些内容有深入理解和实践经验。...
vue常见的面试题
01-07
vue面试题汇集 vue面试题汇总二 vue面试总结三 vue面试题汇总四 vue面试题汇总五 vue面试题汇总六 axios是什么?怎么使用?描述使用它来实现登录功能的流程 1.axios是基于promise使用浏览器好node.js的一个http客服...
前端面试题
10-09
本资源“前端面试题”集成了大量的面试问题,旨在帮助应聘者和招聘者全面了解前端领域的核心知识和技能需求。以下是根据提供的标题、描述和标签整理出的相关知识点: 1. HTML(超文本标记语言):HTML是网页的基础...
前端基础、高级、进阶面试题
06-02
本资料集“前端基础、高级、进阶面试题”旨在帮助开发者准备不同层次的面试,从基础知识到高级概念,再到深入的进阶话题,全面覆盖了前端开发的关键知识点。 1. **基础面试题** - HTML:理解HTML语义化,掌握HTML5...
Web安全:XSS、CSRF以及如何防范,2024年阿里网络安全面试题及答案
2401_83974064的博客
04-18 722
CSRF, 即Cross-site request forgery)中译是跨站请求伪造;CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器端)发起用户所不知道的请求。
网络安全工程师面试题汇总
热门推荐
网络安全
08-30 39万+
以下为信息安全各个方向涉及的面试题,星数越多代表问题出现的几率越大,没有填答案是希望大家如果不懂能自己动手找到答案,祝各位都能找到满意的工作~注:做这个List的目标不是很全,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺。TODO LIST。
网络安全工程师面试合集】—邮件协议是如何被安全人员利用的?
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
11-14 9004
大家好,我是Lex 喜欢欺负超人那个Lex 擅长领域:python开发、网络安全渗透、Windows域控Exchange架构 代码干货满满,建议收藏+实操!!!有问题及需要,请留言哦~~ 2.8.1. 简介 2.8.1.1. SMTP SMTP (Simple Mail Transfer Protocol) 是一种电子邮件传输的协议,是一组用于从源地址到目的地址传输邮件的规范。不启用SSL时端口号为25,启用SSL时端口号多为465或994。 2.8.1.2. POP3 POP3..
前端网络安全面试题CSRF 与 XSS
碳基蒟蒻Serio的博客
04-22 601
跨站请求伪造是一种攻击手段,攻击者通过恶意构造一个链接或表单,诱使用户在已登录的目标网站上执行非本意的操作。当用户点击或提交这个恶意内容时,浏览器会自动带上用户的认证凭据(如session cookie),服务器误以为这是用户自己发起的合法请求,从而执行了攻击者设计的操作。例如,攻击者可能通过CSRF获取用户的转账权限,在用户不知情的情况下转走账户资金。防范措施使用CSRF令牌:服务器端为每个敏感操作生成一个一次性使用的随机令牌,并将其附加到表单中或作为Cookie的一部分发送给客户端。
前端面经 关于CSRF攻击的原理和防范(3),阿里hr面试常问的问题
m0_60607927的博客
04-14 672
基础知识是前端一面必问的,如果你在基础知识这一块翻车了,就算你框架玩的再6,webpack、git、node学习的再好也无济于事,因为对方就不会再给你展示的机会,千万不要因为基础错过了自己心怡的公司。前端的基础知识杂且多,并不是理解就ok了,有些是真的要去记。当然了我们是牛x的前端工程师,每天像背英语单词一样去背知识点就没必要了,只要平时工作中多注意总结,面试前端刷下题目就可以了。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
史上最全网络安全面试题+答案
2301_77285187的博客
05-30 1万+
文件包含漏洞是一种导致服务器上的文件被非法访问的安全漏洞,这种漏洞通常是由不当的 Web 编程实现引起的,允许攻击者从外部文件中读取服务器上的数据。要防止跨站请求伪造攻击,可以采取一些防御措施,比如在每个JSON请求中添加一个CSRF令牌,在每个请求头中添加一个Referer头来确认请求发起者的网站,在JSON客户端中添加一个安全令牌,启用HTTPOnly来防止JSON反序列化注入,编写坚固的代码来限制JSON请求的数量,以及启用内网环境的安全控制等。此时,每个路由器都会尝试同步它们的LSDB。
Web安全之CSRF实例解析,2024年大厂前端岗面试必问
2401_84024148的博客
04-02 878
form 表单的提交会伴随着跳转到action中指定 的url 链接,为了阻止这一行为,可以通过设置一个隐藏的iframe 页面,并将form 的target 属性指向这个iframe,当前页面iframe则不会刷新页面。form 表单的提交会伴随着跳转到action中指定 的url 链接,为了阻止这一行为,可以通过设置一个隐藏的iframe 页面,并将form 的target 属性指向这个iframe,当前页面iframe则不会刷新页面。path: ‘/’, // 写cookie所在的路径。
前端面试题说一下csrf
12-07
CSRF(Cross-site request forgery),中文名为跨站请求伪造,是一种常见的Web攻击方式。攻击者通过伪造用户请求,盗取用户信息或者执行非法操作。攻击者通常会通过诱导用户点击链接或者访问恶意网站的方式进行攻击。 攻击者通常会在恶意网站中嵌入一个图片或者iframe标签,这个标签会向目标网站发送请求,从而实现攻击。为了防止CSRF攻击,我们可以采取以下措施: 1. 验证码:在关键操作(如转账、修改密码等)前,要求用户输入验证码,从而防止攻击者通过程序自动提交请求。 2. Referer检查:在服务器端对请求的Referer进行检查,如果Referer不是本站点,则拒绝请求。 3. Token验证:在每个表单中添加一个随机生成的Token,服务器端在接收到请求时验证Token的有效性,从而防止攻击者伪造请求。 4. SameSite Cookie:设置Cookie的SameSite属性为Strict或者Lax,从而防止跨站请求伪造攻击。 5. 防止XSS攻击:XSS攻击可以劫持用户的会话,从而实现CSRF攻击。因此,我们需要采取措施防止XSS攻击,如对用户输入进行过滤和转义。 6. HTTPS:使用HTTPS协议可以防止中间人攻击,从而保证请求的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值