信息安全之CSRF

最新推荐文章于 2022-06-13 08:58:10 发布
最新推荐文章于 2022-06-13 08:58:10 发布
阅读量341 收藏
点赞数
分类专栏: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mmake1994/article/details/88662151
版权

目录

一、简介

二、案例

三、防范

1.CSRF Token验证

2.人机交互

一、简介

跨站点请求伪造(Cross-Site Request Forgery),CSRF攻击者在用户已经登录目标网站之后诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,如恶意发帖、修改密码、发邮件等,达到攻击目的。

CSRF有别于XSS,从攻击效果上,两者有重合的地方。从技术原理上,两者有本质的不同,XSS是正常用户请求的HTML页面中执行了黑客提供的恶意代码;CSRF是黑客直接盗用用户浏览器中的登录信息冒充用户去执行黑客指定的操作

XSS问题出在用户数据没有过滤、转义;CSRF问题出在HTTP接口没有防范不受信任的调用。很多工程师会混淆两个概念,甚至认为这两个攻击是一样的。

二、案例

某用户登录网上银行A,网上银行A通过如下URL进行转账操作

http://www.mybank.com/Transfer.do?toBankId=11&money=1000

 危险网站B,它里面有一段HTML的代码如下: 

http://www.mybank.com/Transfer.do?toBankId=11&money=1000

用户登录了银行网站A,然后访问危险网站B,这时你会发现你的银行账户少了1000快,转到了其他账户。当然银行不会有那么明显的漏洞

三、防范

1.CSRF Token验证

利用浏览器的同源限制,在HTTP接口执行前验证页面或者Cookie中设置的Token,只有验证通过才继续执行请求

2.人机交互

比如在调用上述网上银行转账接口时,校验短信验证码

绣花针
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
聊聊前端安全之CSRF
奇舞周刊
01-05 938
本文作者为奇舞团前端开发工程师一、什么是CSRFCSRF(Cross Site Request Forgery,跨站域请求伪造),通常缩写为 CSRFCSRF攻击是攻击者通过伪装成受信任用户向服务器发起各种请求,达到欺骗服务器接收并执行指令,造成的一系列危害的一种网络攻击方式。二、CSRF的原理原理流程图形化展示如上图所示,下面为原理流程释义:用户正常登录A网站,登录成功后,A网站将Cooki...
Laravel基础-后台CSRF认证及验证码判断细节
Ferre666的博客
07-13 888
一、CSRF认证: CSRF为跨站请求伪造。为了防止跨站攻击,laravel制定了一套相关认证,具体细节可查看源码,当获取表单数据时,为避免报错,使用方式如下:1、未使用CSRF认证报错信息如下:TokenMismatchException in VerifyCsrfToken.php line 67:2、解决方法:在 <form action="" method="post"> 下加上如下认证代
【软件安全实验2022】验证码——1
Sparks_Pion的博客
03-29 3629
exeinfo查壳,没啥问题 打开IDA,查找字符串 其中这一项比较可疑,形式一样,进入查看 进入,A 键整理字符串 整理好后是这样 X键查看交叉引用 运气不错!进入 尝试Tab 键转换成类C语言,因未定义函数,失败。 到起始位置,C 键转换成code,后P键转换成函数 这时就可以Tab 键转换成类C语言,是函数sub_40243A this类型明显不是char**,应该是个句柄结构体指针,更换类型 IDA帮我们分析好了,强强 观察这几部分,应该是个全局变量的数组 双击进入
CSRF的攻击和防御
weixin_49527298的博客
06-27 572
CSRF:跨站请求伪造,伪造用户请求登录页面 CSRF攻击可以伪造当前用户的行为,让目标服务器以为请求为当前用户发起,并利用当前用户权限实现业务请求伪造。 CSRF攻击,先是攻击者伪造一个恶意攻击页面,当用户点击时会自动向当前用户的服务器提交一次伪造的业务请求,从而获取用户的信息CSRF攻击的条件:(1)用户处于登录状态 (2)伪造的链接与用户一致 (3)后台未对用户业务开展合法性做校验 CSRF攻击场景: (1)当用户时管理员,黑客通过获得管理员权限去添加和删除用户的信息 (2)当
CSRF总结(一)
qq_43511094的博客
03-17 5050
文件包含漏洞相关知识总结 文件包含漏洞概念 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入 2. 文件包含漏洞的环境要求 allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据 allow_url_include=On(php5.2之后默认为Off) 规定是否允许include/require远程文件 常见文件包含函数 include() require() include_once
信息安全技术:CSRF的类型.pptx
11-01
【标题】:“信息安全技术:CSRF的类型.pptx” 涉及的主题是网络安全中的CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击,这是一种常见的Web应用程序安全问题。CSRF攻击利用用户的已登录状态,通过伪装成...
信息安全技术:CSRF实例.pptx
11-01
信息安全技术基础
信息安全技术:CSRF的防御编程.pptx
11-01
信息安全技术:防御CSRF攻击】\n\nCSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,它利用了用户已经登录的状态,使得攻击者能够以用户的名义执行非预期的操作。这种攻击往往在用户无意识的...
信息安全技术:CSRF攻击简介.pptx
11-01
信息安全技术基础
安全 毕设 csrf的攻击实现
04-13
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全威胁,它利用了用户的浏览器自动发送请求的身份认证信息。在毕设项目中,理解并实现CSRF攻击可以帮助我们更好地了解其工作原理,从而设计出更...
前端安全之 CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 6047
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
安全开发之CSRF(跨域请求伪造)
XZ85201的博客
05-20 1307
概念:CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。
CSRF 批量进行校验
wyfhist的专栏
04-20 3045
CSRF批量添加校验,配置化校验接口。
CSRF攻击介绍及常用防御手段
yinn
09-22 9374
什么是CSRF攻击? CSRF(跨站点请求伪造),就是攻击者诱使用户访问了一个页面,以该用户身份在第三方站点里执行相关操作。 比如:登陆了sohu博客后,只需要请求这个url,就能够吧编号为“156713012”的博客文章删除 http://blog.sohu.com/manage/entry.do?m=delete&id=156713012 攻击者首先在自己的域构造一
Csrf攻击与防止
热门推荐
八点半技术站
11-05 1万+
CSRF 的全称是“跨站请求伪造”,而 XSS 的全称是“跨站脚本”。看起来有点相似,它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户,但前面说了,它们的攻击类型是不同维度上的分 类。CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。 我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ...
csrf laravel
jjlgz的博客
10-30 809
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 1 CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。  
CSRF认证的几种方法
UncleGen的博客
07-17 3216
前言 在使用Django框架编写网页,使用AJAX技术进行前后端数据交互的时候会遇到csrf(Cross-site request forgery跨站请求伪造)问题,get请求不影响,post就需要csrf认证。 环境 Django 2.0.6 方法 在登陆表单中添加CSRF方法: &lt;form action="{% url 'login_check' %}" met...
CSRF 的防御
weixin_40010498的博客
03-21 4900
对于如何防范 CSRF,一般有三种手段。 1、判断请求头中的 Referer 这个字段记录的是请求的来源。比如 http://www.example.com 上调用了百度的接口 http://api.map.baidu.com/service 那么在百度的服务端,就可以通过 Referer 判断这个请求是来自哪里。 在实际应用中,这些跟业务逻辑无关的操作往往会放在拦截器中(或者说过滤器,不同技术使...
代码安全之CSRF
呆萌Di狍子
02-22 279
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞...
springboot安全漏洞CSRF
最新发布
08-16
7. 使用安全的 Cookie 配置:确保为 Cookie 设置了安全标志(Secure)和 HttpOnly 标志,以防止敏感信息在传输和存储过程中被窃取。 以上是一些常见的防止 Spring Boot 应用中 CSRF 攻击的方法。但请注意,每个应用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值