csrf攻击原理及防备

最新推荐文章于 2024-03-15 10:27:38 发布
最新推荐文章于 2024-03-15 10:27:38 发布
阅读量535 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onmyways/article/details/53607153
版权

1,csrf(cross-site request forgery),跨站点伪造请求;

是 受害者用户 登录访问 可信任网站A,在没有退出的情况下,又访问量 不可信任恶意网站B,网站B盗用用户身份,发出恶意请求;

站外本质:提交服务器外部数据问题;

站内本质:服务器内部代码 接收数据漏洞,如滥用$_REQUEST等变量,是提交的get页面

2,csrf攻击分类
a,站内 和 站外

站外是 有人 伪造 不是用户发出的请求表单,引诱用户在使用该网页发出恶意请求
站内 一般基于滥用 $request来的

3,csrf  漏洞检测

a.抓取请求包,去掉 referer字段重新提交,提交还有效,基本确定有csrf漏洞;



4,防止csrf攻击:服务端 ,客户端,安全设备

服务端
4.1 验证 http referer字段
referer字段是显示 来源网站链接,如果referer字段链接是 合法用户网站通过验证,不是,则不通过;
4.2 在请求地址中添加 token并验证
关键点:请求中放入攻击者不能伪造信息,并且不放在cookie里进行验证;
在HTTP请求 以参数形式 加入 token ,并在服务器端验证token;token 不正确可视为scrf攻击。
4.3在HTTP头自定义属性并验证
token以参数形式设置于http请求中

用户端的防御
  尽量不要点击网络论坛,聊天室,即使通讯或链接图片;
  在退出情况下,点击未知位置链接和图片
安全设备的防御
 CSRF攻击的本质是攻击者伪造了合法的身份,对系统进行访问。如果能够识别出访问者的伪造身份,也就能识别CSRF攻击。
 有些厂家能够基于 硬件侧面对HTTP请求中 referer字段内容进行检测识别csrf。
  H3C公司的IPS产品采用了特殊技术,支持对部分常用系统的CSRF漏洞攻击进行检测和阻断。







onmyways
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
csrf攻击与防御
weixin_44186370的博客
12-03 204
1.csrf原理介绍 1.csrf定义 CSRF(Cross-site request forery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 2.csrf原理 利用目标用户的合法身份,以目标用户的名义执行某些非法操作。 CSRF能够利用用户的进行...
csrfssrf漏洞的原理是?如何防御和利用csrfssrf漏洞
DXfighting_的博客
04-14 890
Csrf原理CSRF是一种依赖web浏览器的、被混淆过的代理人攻击。 防御csrf漏洞: 验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header Ssrf漏洞原理: 很多web应用都提供了从其他的服务器上获取数据的功能。使用指定的URL,web应用便可以获取图片,下载文件,读取文件内容等。SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般情况下, SSRF攻击的目标是外网无法访问的内部系统,黑客可以利用S
CSRF漏洞原理攻击与防御(非常细)
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
03-15 1271
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
【Web 安全】CSRF 攻击详解
热门推荐
weixin_44211968的博客
05-11 1万+
文章目录一、CSRF 简介二、CSRF 原理三、CSRF 的危害四、CSRF攻击类型五、CSRF 的防御1. 验证 HTTP Referer 字段2. 在请求地址中添加 token 并验证3. 在 HTTP 头中自定义属性并验证参考链接 一、CSRF 简介 CSRF(Cross Site Request Forgery,跨站域请求伪造),也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF 。 尽管听起来像跨站脚本(XSS),但它与X
CSRF攻击原理详解
qq_32907491的博客
09-17 438
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
什么是 CSRF 攻击原理是什么
stormjun的博客
07-13 1027
CSRF 攻击是一种跨站点请求伪造攻击攻击者通过欺骗用户执行恶意请求来攻击 Web 应用程序。攻击者通常使用社交工程学技术,如钓鱼邮件和恶意广告,来欺骗用户点击恶意链接或打开恶意页面。例如,攻击者可以在一个网站上的一个表单中注入恶意代码,当用户访问这个网站时,恶意代码会自动发送请求到另一个网站,从而执行恶意操作,如更改用户密码或转移用户资金。由于用户在访问恶意网站时已经登录了另一个网站,因此攻击者可以利用用户的身份进行攻击
CSRF攻击的应对之道
01-30
CSRF(Cross SiteRequestForgery,跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的...CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如
Flask模拟实现CSRF攻击的方法
09-20
## CSRF 攻击原理 1. 用户在浏览器中打开一个合法网站(WebA),并登录成功,此时服务器会设置一个包含用户身份信息的 Cookie。 2. 用户在同一个浏览器中打开了另一个网站(WebB),这个网站由攻击者控制。 3. 攻击...
CSRF攻击与防御
02-26
这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
从开发角度浅谈CSRF攻击及防御
02-25
CSRF可以叫做(跨站请求伪造),咱们可以这样子理解CSRF攻击者可以利用你的身份你的名义去发送(请求)一段恶意的请求,从而导致可以利用你的账号(名义)去--购买商品、发邮件,恶意的去消耗账户资源,导致的一些列恶意...
CSRFSSRF原理、区别、防御方法
2301_76786857的博客
12-26 2097
它是一种利用用户在已登录的网站中提交非法请求的行为,攻击者通过伪造用户提交的请求,将恶意请求发送至受信任的网站,导致用户在不知情的情况下执行恶意操作。两者区别:CSRF是用户端发起请求,攻击者利用用户的Cookie信息伪造用户请求发送至服务器;而SSRF是服务端发起的请求,攻击者通过构造指定URL地址获取网页文本内容、加载指定地址的图片、下载等方式,利用存在缺陷的Web应用作为代理攻击远程和本地的服务器。5.限制请求的端口为http常用的端口,例如80、443、8080、8090等;
网络安全之CSRF漏洞原理和实战,以及CSRF漏洞防护方法
Scalzdp的专栏
11-08 2667
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
渗透测试-一文读懂XSS、CSRFSSRF、XXE漏洞原理、应用、防御
lza20001103的博客
08-25 2446
一文读懂XSS、CSRFSSRF、XXE漏洞原理、应用、防御 文章目录一文读懂XSS、CSRFSSRF、XXE漏洞原理、应用、防御一、相同点与不同点相同点不同点XXE漏洞二、防御1、XSS2、CSRF3、SSRF4、XXE三、面试题 一、相同点与不同点 相同点 XSS,CSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点 XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的
csrf攻击原理与解决方法
hengliang_的博客
09-10 5519
0x01前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大
CSRFSSRF原理,防御
2301_77315080的博客
09-06 418
跨站请求伪造(英语: Cross-site request forgery),也被称为one- click attack或者sessionriding,通常缩写为CSRF或者XSRF;是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
XSS、CSRFSSRF漏洞的攻击原理以及防御
qq_57307348的博客
02-24 1168
XSS xss:跨站脚本攻击,不需要做任何的登录认证,通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本程序或者攻击者在Web页面里插入恶意script代码,当用户浏览该页之时,嵌入Web里面的script代码会被执行,从而达到恶意攻击用户的目的。 攻击条件 向web页面注入恶意代码 这些恶意代码能够被浏览器成功的执行 攻击原理 xss漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后, 在输到前端时被浏览器当作有效...
CSRF 攻击 攻击原理
06-11
CSRF攻击的工作原理攻击者构造一个恶意请求,然后诱导用户访问带有恶意请求的页面。当用户访问该页面时,浏览器会自动发送请求到Web应用程序,由于请求中包含了用户的合法身份认证信息(如cookie等),Web应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值