CSRF攻击浅析

最新推荐文章于 2024-05-22 22:09:28 发布
最新推荐文章于 2024-05-22 22:09:28 发布
阅读量351 收藏
点赞数
分类专栏: JAVAWEB 文章标签: 漏洞 CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nanruitao10/article/details/100628420
版权

引子

最近遇到一一个CRSF漏洞攻击,xss攻击经常经常听说,CSRF是什么,那么赶紧查一下资料吧,在此记录一下。

CSRF

CRSF--Cross Site Request Forgery,跨站请求伪造,攻击者诱骗受害者访问第三方网站,在受害者访问第三方网站时,攻击者就可以拿到受害者的相关的信息,在受害者不知觉的情况下进行访问。假设小明在网上购物刚结算完,这时突然弹出了一个公告提示,小明好奇心又重就打开了,打开弹出也没有什么,就是一些广告,小明就关掉了,结果过了一段时间发现自己少了一笔但是明明没有支付,这时就有可能被攻击了。小明就是在打开弹框的同时,攻击者就拿到了小明浏览器中的支付的相关信息,这时伪造小明的信息再次支付。这里只是举个例子,真实的网购环境不会发生这种情况的。下面以一张图来理解一下:

如何预防CSRF攻击

预防CSRF攻击

     1.token验证

      在服务端产生token,放到session中,每次请求资源时验证token是否一致,若一致则通过,否则拒绝;还可以在cookie中设置随机的token,在请求的url中带上cookie产生的token,这样就校验cookie中的token和url中的token是否一致即可。

     2.同源检测

     在cookie中会有origin和referer两个属性,他们是携带域名的属性,通过他们可以知道访问者的域名,服务端通过提前设置的可信任域名列表来进行对比,若是访问者的域名在可信任列表者通过,否者拒绝;这种方式可以拦截普通的攻击,若是黑客伪造域名这种方式则不可靠。

     3.验证码

    在用户名每次提交时都需要输入验证码也可以预防CSRF,但是这种用户体验性差。可以在用户名失败几次之后,再让输入验证码这样比较好。

欢迎指正,一起进步。。。。

一个优秀的颓废程序猿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 6912
什么是CSRF攻击,如何防范CSRF攻击
CSRF漏洞原理攻击与防御(非常细)
dzqxwzoe的博客
07-18 2603
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
前端安全之 CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 6055
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
CSRF 攻击详解
最新发布
只为成功找方法 不为失败找借口
05-22 1023
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
什么是 CSRF 攻击
songshao の blog
08-10 2023
对 Cookie 进行双重验证,服务器在用户访问网站页面时,向请求域名注入一个 Cookie,内容为随机字符串,然后当用户再次向服务器发送请求的时候,从 cookie 中取出这个字符串,添加到URL参数中,然后服务器通过对 cookie 中的数据和参数中的数据进行比较,来进行验证。Samesite 一共有两种模式,一种是严格模式,在严格模式下 cookie 在任何情况下都不可能作为第三方 Cookie 使用,在宽松模式下,cookie 可以被请求是GET 请求,且会发生页面跳转的请求所使用。
什么是CSRF攻击,以及如何防御
weixin_41359273的博客
04-14 8644
什么是CSRF攻击,以及如何防御1.CSRF攻击的概念2.CSRF攻击简单案例2.1 银行网站项目2.2 危险网站的项目2.3 测试3.默认的CSRF防御策略4前后端分离的CSRF防御策略 1.CSRF攻击的概念 1.CSRF全称为Cross Site Request Forgery,跨域请求伪造。这是一种很常见的Web攻击方式,如下为一个简单的攻击流程。 1)假设用户打开了一个银行网站,并且登录了 2)登录成功后,会返回一个cookie给前端,浏览器将cookie保存下来 3)用户在没有登出银行网站的情况
Flask模拟实现CSRF攻击的方法
09-20
# Flask 模拟实现 CSRF 攻击方法详解 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使...
CSRF攻击与防御
02-26
这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
CSRF攻击的应对之道
01-30
CSRF(Cross ...然而,该攻击方式并不为大家所熟知,很多网站都有CSRF的安全漏洞。本文首先介绍 CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring Security 防 Csrf 攻击实现代码解析 Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证...
Python Django框架防御CSRF攻击的方法分析
09-18
下面我们将深入探讨Django如何防御CSRF攻击,以及如何配置和使用这些防御策略。 首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单...
关于CSRF攻击的原理以及防御措施
程序媛的梦工厂
03-31 1156
CSRF攻击的原理 1、用户M打开浏览器,访问受信任的网站A,输入用户名和密码登录网站A; 2、在用户信息通过验证之后,网站A产生cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未推出网站A之前,在同一浏览器打开一个新的tab访问网站B; 4、网站B接受到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点网站A; 5、浏览器接受到这些请求后...
CSRF漏洞原理及攻击方式 防护方法有哪些
白帽黑客鹏哥的博客
12-11 1381
CSRF是一种攻击方式,它利用用户已经登录的浏览器发起恶意请求。攻击者诱导用户点击链接或访问恶意网站,利用用户当前的登录状态,无意中发送请求到受信任的网站。
Java 安全之:csrf攻击总结
weixin_30952103的博客
08-12 667
  最近在维护一些老项目,调试时发现请求屡屡被拒绝,仔细看了一下项目的源码,发现有csrf token校验,借这个机会把csrf攻击学习了一下,总结成文。本文主要总结什么是csrf攻击以及有哪些方法来防范,接下来会再写一篇文章,从源码中来学习一下实战中是如何防御csrf攻击的。   主要内容如下:   什么是CSRF攻击   几种常见的攻击类型   CSRF的特点   防护策略   总...
CSRF攻击
大草的博客
07-04 1239
CSRF的实验内容,仅为原理说明,不谈论&不涉及任何网络攻击
CSRF攻击详解和应对策略
山鬼谣弋痕夕的博客
08-10 2040
CSRF攻击的应对之道 https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。 你可以这样来理解:        攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但...
java csrf_Java解决CSRF问题
weixin_42512246的博客
02-12 1333
CSRF是什么?CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF可以做什么?你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账....
csrf原理及利用
qq_54030686的博客
11-15 370
csrf原理服务端未对用户请求来源校验,导致漏洞的出现 csrf 不要获取目标cookie,在目标登录相关网站拥有cookie时,使用此漏洞可以在指定网站使用目标cookie完成某些操作 具体实现(在没有token,refer验证前提下) 在修改账号密码(增加用户)页面中,uname,password可以将网页连接更改如下 http://192.168.0.1/genggaimima.php?uname=a&password=b 可以隐藏在html任意标签中 在钓鱼链接中插入此语句即可成功将目标在1
CSRF 攻击 攻击原理
06-11
CSRF(Cross-Site Request Forgery)攻击又称为跨站请求伪造或者被动式攻击攻击者通过伪造合法用户的请求发送到Web应用程序,从而达到不正当的目的。攻击者通常需要诱导用户执行某些操作(如点击链接、访问网站等),以触发CSRF攻击CSRF攻击的工作原理是攻击者构造一个恶意请求,然后诱导用户访问带有恶意请求的页面。当用户访问该页面时,浏览器会自动发送请求到Web应用程序,由于请求中包含了用户的合法身份认证信息(如cookie等),Web应用程序无法区分该请求是否是用户本人的操作,从而执行了攻击者构造的恶意请求。 例如,攻击者可以在某个社交网站上发布一条欺骗性的链接,诱导用户点击该链接。当用户点击链接后,浏览器会自动向Web应用程序发送一条请求,该请求中包含了用户的身份认证信息和攻击者构造的恶意请求。由于Web应用程序无法判断该请求是否是用户本人的操作,因此会执行该恶意请求,从而导致CSRF攻击成功。 为了防止CSRF攻击,开发者可以采取以下措施: 1. 在关键操作(如修改密码、转账等)中增加CSRF令牌验证,确保请求是由合法用户发出的。 2. 对用户输入的数据进行有效的过滤和验证,避免恶意请求被执行。 3. 不要在GET请求中执行关键操作,避免恶意链接导致的攻击风险。 4. 使用HTTPS协议加密用户的身份认证信息,避免信息被篡改或窃取。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值