CSRF攻击理解、简单演示与预防

已于 2023-03-23 10:58:13 修改
阅读量1.7k 收藏 14
点赞数 16
分类专栏: 计算机基础 文章标签: 网络安全
于 2022-10-28 16:25:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74787523/article/details/127570991
版权

本文目录

CSRF

CSRF即跨站请求攻击。简单来说是攻击者通过一些技术手段欺骗用户浏览器去访问一个自己以前认证过的站点并运行一些操作,因为浏览器之前认证过,所以被访问的站点会觉得这是真正的用户操作。
这就利用了web用户身份认证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的
简单来说:CSRF就是攻击者盗用了你的身份,以你的名义发送恶意请求

在这里插入图片描述

必要条件

登录受信任网站A,并在本地生成Cookie
在不登出A的情况下,访问危险网站B

CSRF代码演示(简单基于Get方式)

在127.0.0.1:8080服务器下

在这里插入图片描述

没有登录不能进行转账

在这里插入图片描述

登录成功

在这里插入图片描述

可以转账

在这里插入图片描述

在127.0.0.1:5000服务器下

在这里插入图片描述

在这里插入图片描述

访问网站的时候请求了127.0.0.1:8080服务器下的trans

在这里插入图片描述

CSRF预防

提交验证码

在表单添加一个随机数字或验证码,通过强制用户与应用交互来有效遏制CSR攻击

Referer/Origin Check

在http请求头中有个字段为referer,如果是在正常站点A访问那么referer就是A,如果在恶意请求站点B中去请求A那么referer就是B,所以可以判断是否正常页面进来
但是referer可能可以被修改
Origin与Referer相比他不包含路径信息比如Referer是A/test所以Origin就是A

HTTP头中自定义属性并验证

因为CSRF是利用cookie来攻击的,当我们定义一个HTTP头部属性时候,这个B中的A请求就没有这个Header属性所以可以预防

「已注销」
关注
专栏目录
Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御
oscar999的专栏
07-17 1449
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击者伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF攻击过程。...
实现 CSRF 攻击简单示例
weixin_33989780的博客
06-21 2478
为什么80%的码农都做不了架构师?>>> ...
CSRF攻击演示
Leon_Jinhai_Sun的博客
05-22 175
创建银行应用 引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupI
网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
最新发布
weixin_42340783的博客
08-02 971
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
php web开发安全之csrf攻击简单演示和防范(一)
weixin_30614587的博客
05-06 135
csrf攻击,即cross site request forgery跨站(域名)请求伪造,这里的forgery就是伪造的意思。网上有很多关于csrf的介绍,比如一位前辈的文章浅谈CSRF攻击方式,参考这篇文章简单解释下:csrf 攻击能够实现依赖于这样一个简单的事实:我们在用浏览器浏览网页时通常会打开好几个浏览器标签(或窗口),假如我们登录了一个站点A,站点A如果是通过cookie来跟踪用户的会话...
csrf攻击与防护—1用flask简单演示csrf攻击
ACBC12345的博客
12-06 321
目录结构 flask_test |__templates(它包含bank_page.html和page_attack.html) |__bank.py |__csrf_attack.py bank.py from flask import render_template, Flask, request, jsonify, make_response app = Flask("haha") YOUR_BANK_COUNT = 1000000000 TOKEN = "0ofjsfnnfgxgxgxgreitu
CSRF(跨站请求伪造)攻击演示
wlym123的专栏
11-10 717
CSRF(Cross-Site Request Forgery)跨站请求伪造,是一种网络安全攻击,其目标是利用被攻击者在某个网站的身份(通常是通过 cookie 认证)来伪造被攻击者的请求,以执行某些未经授权的操作。启动 java 程序 CsrfDemoApplication,该 Spring Boot 服务将在 8080 端口提供服务;通过 npm 安装 http-server,进入 malicious-web 文件夹, 通过。通过 http://localhost:8080 访问目标网站。
csrf攻击与防御
weixin_44186370的博客
12-03 212
1.csrf原理介绍 1.csrf定义 CSRF(Cross-site request forery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 2.csrf原理 利用目标用户的合法身份,以目标用户的名义执行某些非法操作。 CSRF能够利用用户的进行...
CSRF攻击实验与防范
CSRF攻击简介 CSRF(Cross-Site Request Forgery)即跨站请求伪造,是一种网络攻击方式。在CSRF攻击中,攻击者通过已认证用户的身份,在用户不知情的情况下向目标网站发送恶意请求,以达到攻击者的恶意目的。 ## ...
CSRF demo代码
02-04
3. **GET与POST请求**:CSRF攻击更常见于GET请求,因为它们会被浏览器缓存并在浏览器历史记录中显示。但POST请求也可能受到攻击,尤其是在用户通过JavaScript或者第三方插件自动提交表单时。 4. **Referer头**:...
Spring Boot Security中防止CSRF与XSS攻击
# 第一章:理解Spring Boot Security中的CSRF攻击 ## 1.1 什么是CSRF攻击CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击是一种利用用户在已登录的情况下,被迫发送恶意请求的攻击方式。攻击者可以构造一...
WAF中的会话管理与防御跨站请求伪造(CSRF攻击
本文将着重介绍WAF中的会话管理与防御CSRF攻击的相关内容。 **WAF的概念和作用** WAF是一种位于Web应用程序前面的安全网关,监控、过滤和阻止进入Web应用程序的恶意流量。它可以检测攻击者试图利用应用程序漏洞...
SpringBoot+SpringSecurity+Thymeleaf 演示CSRF攻击
怪咖@的博客
06-07 2518
1. 通过代码示例来 演示CSRF攻击!2. 通过security给我们提供的保护机制,来进行防止CSRF攻击 3. security防止CSRF的原理
CSRF攻击
m_ing
06-20 248
前言:前几天我们一起学习了XSS攻击,今天学习的CSRF与XSS有点相似,但事实上完全不是一回事到后期可能有一些结合的点。希望大家认证学习, 加以区分 CSRF 中文是跨站点请求伪造,CSRF攻击者在用户已经登录目标网站之后,诱导用户访问一个攻击页面利用目标网站对用户的信任。以你的身份在攻击页面对目标网站发起伪造用户操作的请求,比如以你的名义发送邮件、发消息、盗取你的账号等等 CSRF与XSS最大的区别就在于,CSRF并没有盗取你的cookie而是直接利用 攻击场景: web a 为存在漏洞的网站,we
2021-03-31
m0_55876880的博客
03-31 222
什么是 CSRF 攻击?如何防范 CSRF 攻击CSRF 攻击指的是跨站请求伪造攻击攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被 攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态,绕过后台的用户验证,冒充用户向服务器执行一些操作。 CSRF 攻击的本质是利用了 cookie 会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充。 一般的 CSRF 攻击类型有三种: 第一种是 GET 类型的 CSRF 攻击,比如在网站中的一个 img 标签里构建一个
CSRF攻击
Bliss_妍的博客
08-16 100
CSRF跨站请求伪造,指的是黑客诱导用户点击链接,打开黑客的网站,然后黑客利用用户目前的登录状态发起跨站请求。 CSRF可能会自动发 GET 请求、自动发 POST 请求或者诱导点击发送 GET 请求。 自动发 GET 请求:进入页面后自动发送 get 请求,这个请求会自动带上关于 xxx.com 的 cookie 信息(如果已经在 xxx.com 中登录过)。并且服务器端没有相应的验证机制,它可能认为发请求的是一个正常的用户,因为携带了相应的 cookie,然后进行相应的各种操作,可以是转账汇款以及其他
理解CSRF攻击:原理、危害与防御策略
理解并防御CSRF攻击对于保障Web应用的安全至关重要。开发者需要在设计和实现过程中考虑这些安全因素,采取合适的防护措施,确保用户的数据安全。同时,用户也应该提高警惕,避免在不安全的网络环境中访问重要账户,...
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

「已注销」

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值