CSRF漏洞概述及原理

已于 2023-04-03 20:38:21 修改
阅读量628 收藏 2
点赞数
文章标签: web安全 网络安全 csrf 系统安全 安全架构
于 2023-04-03 20:35:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74131821/article/details/129938814
版权

一、前言

CSRF:(Cross-site request forgery)跨站请求伪造,也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户的请求来利用受信任的网站。

CSRF 是借用用户的权限完成攻击,攻击者没有拿到受害者权限

  • 受害者必须在登录状态下,没有退出
  • 并且点击了连接

如果受害者不在登陆状态,或者没有点击,则攻击不成功

攻击原理:

 常见的危害:正常网站有的功能且存在漏洞

  • 发送邮件
  • 发表不良言论
  • 修改用户信息,密码
  • 转账
  • 配合其他漏洞攻击

二、测试 CSRF 漏洞

CSRF 漏洞经常被用来制作蠕虫攻击、刷 SEO 流量等。下面试蠕虫攻击为例。

最低0.47元/天 解锁文章
网络安全大本营
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
csrf漏洞概述原理
北冥有鱼
04-27 1512
跨站请求伪造(CSRF) 章节目录 CSRF漏洞简述 场景举例 图中这个叫做lucy的女的想要修改一下自己的收货地址,然后用自己的账号密码登录后去进行修改,修改完后去请求提交,请求里面包含了自己新的地址,并把它提交给了后台,这是个正常的操作。 如果有个人想要修改lucy的个人信息,叫小黑,将修改个人信息的请求伪造成自己的地址 csrf与xss的区别 如何确认一个web系统存在CSRF漏...
CSRF漏洞
热门推荐
weixin_39861994的博客
10-29 1万+
一、CSRF漏洞介绍: CSRF是指利用受害者尚未失效的身份认证信息( cookie、会话 等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下 以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。 CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用 二、CSRF类型: get请求型CSRF 只需要构造URL,然后诱导受害者访问利用。 POST请求型CSRF 构造自动提交的...
CSRF漏洞详解
xcxhzjl的博客
11-19 3149
一、CSRF漏洞原理 1、基本原理 CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。 2、流程图 3、条件 ●用户成功登陆了网站系统,能执行授权的功能 ●目标用户访
CSRF(跨站请求伪造)漏洞 (带靶场演示+漏洞挖掘)
最新发布
wudideaqing的博客
06-14 1314
链接点击。
第五章-CSRF漏洞
guoyuxin3的博客
11-03 702
第五章-CSRF漏洞 第一节 CSRF原理介绍 1.1 CSRF漏洞定义 ​ CSRF(Cross-site request forery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF。 XSS与CSRF区别: 1、XSS利用站点内的信任用户,盗取Cookie; 2、CSRF通过伪装成受信任用户请求受信任的网站。 1.2 ...
脚本入侵技术概述分析三
08-25
在这个“脚本入侵技术概述分析三”中,我们将深入探讨这一主题,重点关注其原理、常见攻击手段以及防范策略。 一、脚本入侵技术的原理 脚本入侵技术主要利用了Web应用的漏洞,特别是输入验证不足或不恰当的情况。...
web常见漏洞思维导图.rar
03-04
"web常见漏洞思维导图.rar"这个压缩包文件提供了对这些漏洞的系统性概述,涵盖了漏洞原理和利用方式,这对于渗透测试和网络安全防护具有极大的价值。下面将详细阐述其中涉及的知识点。 首先,Web常见漏洞主要包括...
Elgg 系统 CSRF 攻击实验-内含源码以及设计说明书(可以自己运行复现).zip
05-08
- CSRF 攻击的概述及其在 Elgg 中的潜在影响。 - 实验环境的配置和设置。 - 如何查找和识别 CSRF 漏洞的技巧。 - 构建和发送恶意请求的详细过程。 - 检测攻击成功的指标和方法。 - 实施有效的 CSRF 防御机制的建议。...
acunetix_14.1.210329187.7z
05-07
1. **全面扫描**:Acunetix能够自动扫描各种Web应用程序,检测出SQL注入、跨站脚本(XSS)、文件包含漏洞、命令注入、CSRF(跨站请求伪造)等多种常见安全威胁。 2. **深度分析**:除了基本的漏洞检测,Acunetix还...
HCL.AppScan.Standard.v10.0.4.Cracked-NGEN
04-28
1. 自动化安全扫描:AppScan Standard能自动化检测各种类型的安全漏洞,包括SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等,大大减轻了手动安全审计的工作负担。 2. 高级分析:通过智能算法和规则库,AppScan...
网络安全CSRF漏洞
qq_52074678的博客
05-08 1464
目录 一.什么是CSRF漏洞🍔🍔🍔 1.实现流程 2.原理CSRF案例分析 2.CSRF漏洞的危害 3.CSRF和XSS区别 4.CSRF playload 1)通过图片的img src属性,自动加载,发起GET请求 2)构建一个超链接,用户点击以后,发起GET请求 3)构建一个隐藏表单,用户访问,自动提交,发起POST请求 三CSRF漏洞挖掘 1.检测工具 四CSRF漏洞防御 1.防御思路 a。我们能不能区分一个请求是来自于自己的前端页面,还是第三方的网站? HTT
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2437
本篇总结归纳CSRF漏洞
CSRF 漏洞详解
一个努力学习网安的小牛马
11-13 565
CSRF漏洞详解
CSRF漏洞原理攻击与防御(非常细)
m0_61869253的博客
10-12 3330
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
csrf漏洞利用原理
09-26
CSRF漏洞利用原理是攻击者利用受信任用户的身份,通过伪装成受信任的用户发送恶意请求来攻击受信任的网站。攻击者会诱使受害者访问包含恶意代码的页面,当受害者在登录状态下访问攻击者控制的页面时,恶意代码会自动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值