crsf攻击与防御

最新推荐文章于 2024-08-09 14:37:43 发布
最新推荐文章于 2024-08-09 14:37:43 发布
阅读量719 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/masterTTT009/article/details/79393272
版权
CSRF(跨站请求伪造)是一种攻击方式,利用已登录用户的cookie执行非本意操作。攻击者通过构造链接或表单进行欺诈,导致用户在不知情下执行敏感操作。防御措施包括使用POST提交数据、验证码、验证Referer字段和添加令牌验证。令牌验证通过为每个表单生成随机秘钥,防止攻击者伪造请求。
摘要由CSDN通过智能技术生成

 CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)

  CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对页面浏览器的信任,XSS则利用了系统对用户的信任。

由上图分析我们可以知道构成CSRF攻击是有条件的:

  1、客户端必须一个网站并生成cookie凭证存储在浏览器中

  2、该cookie没有清除,客户端又tab一个页面进行访问别的网站


 假设某游戏网站的虚拟币转账是采用GET方式进行操作的,样式如:

1 http://www.game.com/Transfer.php?toUserId=11&vMoney=1000

 

  此时恶意攻击者的网站也构建一个相似的链接:

  1、可以是采用图片隐藏,页面一打开就自动进行访问第三方文章:<img src='攻击链接'>

  2、也可以采用js进行相应的操作

http://www.game.com/Transfer.php?toUserId=20&vMoney=1000         #toUserID为攻击的账号ID

 

  1、假若客户端已经验证并登陆www.game.com网站,此时客户端浏览器保存了游戏网站的验证cookie

  2、客户端再tab另一个页面进行访问恶意攻击者的网站,并从恶意攻击者的网站构造的链接来访问游戏网站

  3、浏览器将会携带该游戏网站的cookie进行访问,刷一下就没了1000游戏虚拟币

游戏网站负责人认识到了有被攻击的漏洞,将进行升级改进。

  将由链接GET提交数据改成了表单提交数据

复制代码 
//提交数据表单
<form action="./Transfer.php" method="POST">
    <p>toUserId: <input type="text" name="toUserId" /</p>
    <p
最低0.47元/天 解锁文章
masterTTT009
关注
CSRF攻击原理与防御方法
墨痕诉清风的博客
02-25 4600
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
CRSF跨站请求防御
夏至的博客
11-27 447
一、CRSF跨站请求防御实践 前段时间网站被渗透扫面发现了全站CRSF漏洞,当时安全中心给出的处置建议是: 整改建议: 1、在敏感操作时添加二次认证措施(推荐)。 2、使用验证码手段。 但是实际整改起来,这个操作有一个很大的问题,整改实践长,而且特别容易漏掉地方。我就一直想找一个更加简便的方案去做这个整改。百度了很久,找到的方案都大同小异,感觉最靠谱的就是下头转载的这部分内容。(附在...
白话:CRSF攻击
追梦者的部落格
03-16 2076
今天,来分享一下CRSF攻击基本知识 CRSF:cross site request forgery 跨站请求伪造 下面是CRSF攻击的示意图: 上图可以简单总结为三步: 用户登陆A站,并保留登陆信息 用户访问B站, B站携带A站登陆信息恶意请求A站 A站无法识别请求方,当作合法请求处理,从而遭受攻击 简单示例: 某个网站存在以下恶意信息<img src="http://www.xxx.
就一次!带你彻底搞懂CSRF攻击防御
最新发布
公众号:该用户快成仙了
08-09 1280
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。----来自维基百科简单来说就是黑客冒充你执行一些恶意行为。跨站可以理解为你登录了A网站,然后访问了恶意B网站。HTTP请求。
CSRF攻击
aabbcc456aa的专栏
12-01 1617
CSRF攻击  目录  1 CSRF攻击简介 1  1.1 什么是CSRF 1  1.2 CSRF可以做什么 1  1.3 CSRF漏洞现状 1  2 CSRF的攻击原理 1  2.1 CSRF攻击原理 1  2.2 CSRF攻击实例 2  2.3 CSRF攻击对象 3  3 CSRF的防御策略 3  3.1 验证HTTP REFERER字段 3  3.2 请求中添
csrf攻击原理及防范
小小臭臭的博客
06-05 4636
        CSRF 全拼为 Cross Site Request Forgery, 跨站请求伪造.CSRF指的是攻击者盗用了你的身份,以你的名义发送恶意的请求,给你造成个人隐私泄露及财产安全.        CSRF攻击的原理:        ①用户正常登录A银行网站,        ②A网站返回cookie信息给用户,浏览器保存cookie信息        ③在A网站没有退出登录的情况下...
CSRF攻击防范
zhibin的程序日记
12-06 717
一、什么是CSRF攻击 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任
Python中csrf攻击防御
開開吣吣的博客
10-14 558
CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF攻击原理以及过程 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登...
如何防止CSRF攻击?
ccyzq的博客
03-17 4354
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
CSRF 攻击的防范措施
程序员徐师兄的博客
07-13 3122
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
如何防范CSRF攻击
qq_30745807的博客
02-25 146
referer:referer是HTTP请求Header的一部分,当浏览器向web服务器发送请求的时候,请求头信息一般要包含Referer。该Referer会告诉服务器我是从哪个页面链接过来的,服务器基于此可以获得一些信息用于处理。 Referer的作用是什么? 防恶意请求:比如A网站服务器只允许网站内地址访问,那服务器每次都需要判断Referer的值是否是同域名地址,如果不是,就拦截。 ...
CSRF漏洞原理攻击防御(非常细)
资深程序员,曾自学JAVA,C#,如今从业于网安行业
03-15 1531
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
跨站请求伪造-CSRF防护方法
hjjhce的博客
08-18 776
跨站请求伪造-CSRF防护方法                               CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 1 CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中We
CRSF数据协议详解:遥控器与ELRS通信的核心技术
CRSF协议是一种在遥控器与飞行控制器之间进行高效通信的协议,其特性包括: 1. **硬件接口**:CRSF协议支持单线半双工UART、双线全双工UART以及多主I2C (BST) 接口,提供了灵活的硬件连接方案。 2. **帧结构**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值