CSRF跨站点请求伪造

最新推荐文章于 2024-04-29 06:51:48 发布
最新推荐文章于 2024-04-29 06:51:48 发布
阅读量281 收藏
点赞数
分类专栏: 渗透 文章标签: csrf 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66618018/article/details/127474730
版权

CSRF 跨站点请求伪造

CSRF原理

CSRF也称为xsrf,是一种挟持用户在当前已登录的web应用程序上执行非本意的操作的攻击。
 漏洞原理:
  1、用户登录信任网站在未退出的情况下访问攻击者构造的恶意网站。
  2、恶意网站发出访问第三方网站的请求,信任网站收到请求以用户信息访问。
  3、攻击者在用户不知情的情况下冒充用户身份访问成功。
CSRF 是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证登录过的网站并运行一些操作(如 发送邮件、发消息、甚至财产操作如转账、购买商品)。利用漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的,只能欺骗浏览器,让其以用户的名义运行操作。

CSRF的危害

  • 修改账户信息
  • 利用管理员账号,上传木马文件
  • 传播蠕虫病毒
  • 和其他攻击手段配合,实现攻击,例如XSS

CSRF payload 构造

1、通过img src属性,自动加载,发起get请求。
2、构建一个超链接,用户点击以后发起get请求。
3、构建一个隐藏表单,用户访问,自动提交,发起post请求。
可以用短连接的方式进行注入。

常见的类型

1、GET上传:构造一个虚假连接,在里面添加我们的payload。a, img, iframe 标签。
2、POST上传:构造一个表单来进行提交,用bu

最低0.47元/天 解锁文章
大yiba
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Django中如何防范CSRF站点请求伪造攻击的实现
12-26
CSRF站点请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,...
CSRF请求伪造,含使用教程和测试工具
05-04
CSRF请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
渗透学习-XSS-基础知识部分(持续更新中)
qq_43696276的博客
09-18 553
站脚本攻击(XSS)是客户端脚本安全中的头号大敌。OWASP TOP 10威胁多次吧XSS列在榜首。本文将接下来具体的探讨XSS攻击的原理,以及如何正确的防御它。提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
请求伪造 CSRF 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 977
请求伪造 CSRF 漏洞原理以及修复方法
什么是HTTP协议中的请求伪造CSRF)?如何防范?
最新发布
长风破浪会有时的博客
04-29 202
具体来说,当你登录了一个网站(比如银行网站或者购物网站)之后,你的浏览器会保存一些信息,让你在接下来的浏览中保持登录状态。这个时候,如果你不小心访问了一个恶意的网站,这个网站可能会在背后偷偷地向你刚刚登录过的网站发送请求,就像是用你的名义去告诉银行:“请把我的钱转到这个账户。:这是一种特殊的标记,每次你访问网站时,网站都会给你一个新的Token请求伪造CSRF)就像是一个坏人在你不知道的情况下,偷偷用你的名义去做一些不好的事情。这就像是你的朋友只接受来自你的电话,不接受陌生人的电话一样。
C# MVC解决请求伪造(appscan)
weixin_30611509的博客
07-09 479
参考 ASP.NET MVC 防止请求伪造CSRF攻击的方法 View视图代码: 表单内部增加对Html.AntiForgeryToken函数的调用,这会在表单标签里面和Cookie中分别生成一个名为__RequestVerificationTokenToken <form action="" class="form-main" method="post" ...
渗透测试技术----常见web漏洞--请求伪造攻击原理及防御
wwl012345的博客
08-18 1580
一、请求伪造攻击介绍 1.请求伪造攻击简介 请求伪造(Cross-site request forgery)简称为CSRF,这是一种对网站的恶意利用。CSRF实际上就是攻击者通过各种方法伪装成目标用户的身份,欺骗服务器,进行一些非法操作,但是这在服务器看来却是合法的操作。 2.CSRF与XSS的区别 尽管CSRF听起来很像XSS,但是却又与XSS有本质的区别。最本质的区别就是XS...
CSRF漏洞
MingShenfree的博客
10-28 700
CSRF漏洞原理 CSRF漏洞产生的原因是网站对用户的身份没有进行严格的认证,导致用户的身份令牌被盗用,从而造成用户信息泄露或用户信息被修改等 简单来说就是你家门上的电子密码被别人知道了,别人就可以进你家乱搞喽。可长点心吧孩子们。 用户身份认证 cookie: Cookie是一个非常具体的东西,是浏览器里面能永久存储的一种数据,cookie由服务器生成,发送给浏览器,浏览器把cookie以key-value的形...
CSRF请求伪造实例程序
11-07
在这个"CSRF请求伪造实例程序"中,我们将探讨如何利用PHP实现这种攻击。 首先,我们看到`conn`和`config.php`,这两个文件通常用于数据库连接和配置。在PHP中,这些文件会包含数据库服务器的地址、用户名、密码...
CSRF请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
CSRF(Cross-Site Request Forgery) 请求伪造
Eason_LYC安全白帽子的成长博客
05-13 1574
WEB安全CSRF漏洞攻击最为全面的知识点总结,直击核心知识点,将零散的知识汇总梳理。为深入学习CSRF打下良好基础!
【burpsuite安全练兵场-客户端12】站点请求伪造CSRF-12个实验(全)
wangluoanquan111的博客
03-19 1840
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
web前端安全性——CSRF请求伪造
qq_53911056的博客
02-21 1072
CSRF请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。我们前端怎么解决与避免...
CSRF请求伪造
分享学习网络的点点滴滴
08-26 259
与XSS经常混淆从信任的角度来区分XSS:利用用户对站点的信任CSRF:利用站点对已经身份认证的信任结合社工在身份认证会话过程中实现攻击修改账号密码、个人信息(email、收货地址)发送伪造的业务请求(网银、购物、投票)关注他人社交账号、推送博文在用户非自愿、不知情的情况下提交请求。...
web基础漏洞之CSRF请求伪造漏洞)
m0_62274649的博客
10-04 1276
一些自己的小总结,有待完善
请求伪造CSRF
whoim_i的博客
11-24 4815
目录原理解释CSRF分类GET型POST型CSRF漏洞挖掘使用burpsuite快速生成CSRF poc防御手段 原理解释 画个丑图来解释一波 1、 用户输入账号信息请求登录A网站。 2、 A网站验证用户信息,通过验证后返回给用户一个cookie 3、 在未退出网站A之前,在同一浏览器中请求了黑客构造的恶意网站B 4、 B网站收到用户请求后返回攻击性代码,构造访问A网站的语句 5、 浏览器收到攻...
CSRF(请求伪造)漏洞
weixin_50464560的博客
08-25 1295
CSRF(Cross-site request forgery) 请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 漏洞危害 修改用户信息,修改密码,以你的名义发送邮件、发消息、盗取你的账号等 攻击条件 用户已登录存在CSRF漏洞的网站 用户需要被诱导打开攻击构造的恶意网站 攻击过程 .
web渗透测试----14、CSRF请求伪造攻击
七天
03-25 3650
文章目录一、CSRF概述二、CSRF攻击条件1、相关操作2、基于Cookie的会话处理3、没有不可预测的请求参数三、CSRF的防御1、验证请求的Referer值2、CSRF Token3、验证码等验证业务过程的方式四、基于TokenCSRF1、CSRF令牌的验证取决于请求方法2、CSRF令牌的验证取决于令牌是否存在3、CSRF令牌未绑定到用户会话4、CSRF令牌绑定到非会话cookie5、CSRF令牌只是在Cookie中重复五、基于Referer的CSRF1、Referer的验证取决于请求头是否存在2、是
CSRF请求伪造漏洞
12-06
CSRF(Cross-site request forgery)请求伪造是一种...3. 在cookie中添加SameSite属性,限制cookie只能在同站点请求中发送,从而防止请求伪造攻击。 --相关问题--: 1. 什么是XSS漏洞? 2. 如何防御XSS攻击? 3
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值