CSRF漏洞

已于 2022-05-25 20:37:47 修改
阅读量154 收藏
点赞数
分类专栏: 漏洞整理 文章标签: csrf
于 2022-03-22 10:19:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nigo134/article/details/123653653
版权

漏洞简介:

CSRF(Cross-site request forgery),也被称为:one click attack/session riding,中文名称:跨站请求伪造,缩写为:CSRF/XSRF。

一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实意愿下的操作行为。

CSRF攻击攻击原理及过程如下:

1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

CSRF 漏洞危害:

1. 以受害者名义发送邮件,发消息。

2. 盗取受害者的账号,甚至购买商品,虚拟货币转账。

3. 修改受害者的网络配置(比如修改路由器 DNS、重置路由器密码)。

4. 网站后台创建管理员用户,破坏网站,获取服务器权限等。

CSRF漏洞检测

检测CSRF漏洞是一项比较繁琐的工作,最简单的方法就是抓取一个正常请求的数据包,去掉Referer字段后再重新提交,如果该提交还有效,那么基本上可以确定存在CSRF漏洞。

随着对CSRF漏洞研究的不断深入,不断涌现出一些专门针对CSRF漏洞进行检测的工具,如CSRFTester,CSRF Request Builder等。

以CSRFTester工具为例,CSRF漏洞检测工具的测试原理如下:使用CSRFTester进行测试时,首先需要抓取我们在浏览器中访问过的所有链接以及所有的表单等信息,然后通过在CSRFTester中修改相应的表单等信息,重新提交,这相当于一次伪造客户端请求。如果修改后的测试请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。

防御CSRF攻击

目前防御 CSRF 攻击主要有三种策略:

  1. 验证 HTTP Referer 字段;
  2. 在请求地址中添加 token 并验证;
  3. 在 HTTP 头中自定义属性并验证。
  4. 敏感操作加入验证码

基于Token的身份验证的过程如下:

1.用户通过用户名和密码发送请求。

2.程序验证。

3.程序返回一个签名的token 给客户端。

4.客户端储存token,并且每次用于每次发送请求。

5.服务端验证token并返回数据。

CSRF攻击之所以能够成功,是因为服务器误把攻击者发送的请求当成了用户自己的请求。那么我们可以要求所有的用户请求都携带一个CSRF攻击者无法获取到的Token )

步骤:

1. Token通过加密算法由服务端生成返回给用户,但是这个Token不存放到Cookie中,而是放到Seesion中;前端通过JS渲染Dom树添加这个Token,在之后的请求中可以进行携带;如果Html是动态数据,那么需要手动添加Token(这里:token是由后端生成返回前端然后渲染的,本体还在Session中,我这这么理解的)

2. 客户端请求携带Token

3. 服务端Session获取Token进行核对

HttpServletRequest req = (HttpServletRequest)request; 
HttpSession s = req.getSession(); 
 
// 从 session 中得到 csrftoken 属性
String sToken = (String)s.getAttribute(“csrftoken”); 
if(sToken == null){ 
   // 产生新的 token 放入 session 中
   sToken = generateToken(); 
   s.setAttribute(“csrftoken”,sToken); 
   chain.doFilter(request, response); 
} else{ 
   // 从 HTTP 头中取得 csrftoken 
   String xhrToken = req.getHeader(“csrftoken”); 
   // 从请求参数中取得 csrftoken 
   String pToken = req.getParameter(“csrftoken”); 
   if(sToken != null && xhrToken != null && sToken.equals(xhrToken)){ 
       chain.doFilter(request, response); 
   }else if(sToken != null && pToken != null && sToken.equals(pToken)){ 
       chain.doFilter(request, response); 
   }else{ 
       request.getRequestDispatcher(“error.jsp”).forward(request,response); 
   } 
}


 

nigo134
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF检测工具
12-09
CSRFTester是一款CSRF检测工具 .
CSRF自动化检测
Js_123456789的博客
03-06 193
CSRF自动化检测: 这里主要是对POST型form表单的检测 1. 根据URL获取form表单组成的数组 2. 遍历表单数组,对比不设置cookie与设置了cookie两种情况下的表单是否还存在,如果还存在就去除数组中的该表单。 因为不设置cookie没有登录态也能获取的表单、也能进行的操作对于CSRF来说没有意义。 3. 遍历表单数组,在设置cookie的情况下访问两次页面...
Web安全——CSRF跨站请求伪造漏洞
2402_83242246的博客
04-29 763
CSRF,全称Cross-site request forgery,即跨站请求伪造,也被称为one-click attack或者XSRF,是一种攻击者利用受害者尚未失效的身份认证信息(如cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密等)的攻击方法。
CSRF 漏洞测试
weixin_30532369的博客
11-07 260
CSRF简介 CSRF中文名:跨站请求伪造,英文译为:Cross-site request forgery,CSRF攻击就是attacker(攻击者)利用victim(受害者)尚未失效的身份认证信息(cookie、session等),以某种方式诱骗victim点击attacker精心制作的恶意链接或者访问包含恶意攻击代码的页面,当victim触发成功之后,恶意代码会被执行,浏览器默默的...
CSRF检测(owasp翻译)
qq_1062290728的博客
02-18 331
1
CSRF的检测与防御笔记
Yisitelz的博客
08-05 479
CSRF的检测,常用的有手动检测和半自动检测。CSRF的防御包括二次确认:验证码、再次询问;Referer Check;Anti CSRF Token。防御主要是依靠Anti CSRF Token
hucart-含有CSRF漏洞的源码.zip
12-31
在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际的示例,让我们深入探讨一下CSRF漏洞的原理、危害以及防范措施。 1. **CSRF漏洞原理**: CSRF漏洞通常发生在Web应用程序中,这些应用未对请求进行...
CSRF漏洞的靶场实验
09-19
在“CSRF漏洞的靶场实验”中,我们将通过实际操作来理解这种攻击方式以及如何防御。 首先,我们需要了解CSRF攻击的基本原理。当用户访问一个网站并登录后,浏览器会保存一个叫做会话(Session)的状态,使得用户在...
CSRFScanner:Python CSRF漏洞扫描器
05-06
Python CSRF漏洞扫描器 描述 CSRFScanner是一种用于扫描网站以查找CSRF漏洞的工具。 这是一个基本工具,不是很人性化,我最初是出于学术目的而开发的。 可以在PDF CSRFScanner_Explications.pdf(以法语编写)中...
CSRF漏洞防御-01
09-15
"CSRF漏洞防御-01" CSRF漏洞防御是一种非常重要的安全机制,它可以防止恶意攻击者对Web应用程序的攻击。CSRF漏洞防御主要包括四种方法:验证码防御、Referer Check防御、Anti CSRF Token防御和Token泄露。 验证码...
CSRF漏洞利用方法-01
09-15
CSRF漏洞利用方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web应用安全漏洞,攻击者可以利用CSRF漏洞来欺骗用户浏览器执行恶意操作。本文将介绍四种CSRF漏洞利用方法,分别是链接利用、...
CSRF漏洞token防御介绍-01
09-15
CSRF 漏洞 Token 防御介绍 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的 Web 应用安全漏洞,它允许攻击者在用户不知情的情况下,伪造用户的请求,导致用户执行非预期的操作。为了防御 CSRF 漏洞...
CSRF漏洞详细说明
02-26
经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证...
csrf漏洞.rar
09-15
在"csrf漏洞.txt"文件中,可能详细列出了如何在实际应用中采用上述防御策略,包括如何在前端添加和验证Token,以及如何在后端处理请求时进行安全检查。具体实践步骤可能包括: 1. 在每个需要保护的表单中,添加一个...
CSRFTester:一款CSRF漏洞的安全测试工具
02-26
CSRFTester:一款CSRF漏洞的安全测试工具CSRFTester是一款CSRF漏洞的测试工具,讲工具之前,先大概介绍一下CSRF漏洞CSRF英文全称是CrossSiteRequestForgery,常被叫做跨站点伪造请求,是伪造客户端请求的一种攻击...
55-55.渗透测试-CSRF漏洞防御.mp4
最新发布
05-10
55-55.渗透测试-CSRF漏洞防御.mp4
CSRF漏洞检测与发现
weixin_39811856的博客
05-17 2653
1.首先明白什么是CSRF漏洞 跨站请求伪造,这里刚入门的同学肯定不明白是什么意思,其实重点在于请求伪造 简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 在CSRF的攻击场景中攻击者会伪造一个请求(这个请.
CSRF原理、测试方法
u03024218的专栏
11-29 5368
CSRF原理 网上有图,直接见图。 以下是我对于CSRF的理解。 首先,这是一个cookies漏洞(身份验证?),用户访问了危险网站B后,B会访问偷偷的让用户访问正规网站A。正规网站对身份进行校验后(通过cookies)认为这是同一个用户,则进行操作。   关键点: 1.  用户要访问正常网站 2.  在没有关闭网站的情况下(或者session未失效),在打开网站B(危险
CSRF检测的两种方法
Later_future的博客
05-17 9357
CSRF检测的两种方法 方法1:CSRFTester-1.0 使用工具注意事项: run.bat中jdk的目录按当前电脑路径自行更改点击run.bat才可使用 关于浏览器进行代理问题须是HTTP的代理,在CSRFTester中才接收的到 功能略显不足,在部分测试页面中抓取的表单不能修改参数 这里使用metinfo5.3.1成功进行了工具的使用研究 1.登录metinfo5.3.1的后台创建test用户并使CSRFTester进行监听 2.停止监听,找到对应的请求进行参数修改这里创建了一个fu
csrf漏洞dvwa
09-13
在DVWA中,可以找到一些关于CSRF漏洞的练习。要利用CSRF漏洞,攻击者需要诱使受害者访问一个包含恶意请求的网页。当受害者登录到DVWA并点击了这个网页时,他们的操作将被误导到执行攻击者指定的操作,而不是预期的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值