Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御

最新推荐文章于 2024-07-16 10:30:07 发布
最新推荐文章于 2024-07-16 10:30:07 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: Spring Boot实战开发大全 文章标签: 跨站请求伪造 CSRF Spring Boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oscar999/article/details/125830688
版权

CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击者伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。

本篇j基于Spring Boot创建项目,用来演示CSRF 的攻击过程。

演示场景

在本地创建两个项目

  1. bank ,银行网站, 需要登录后使用,该网站提供了一个 http://localhost:8080/transfer 的接口,接收两个参数account和money,用于向指定账号转账、
  2. hack, 黑客网站, 本地演示可以直接使一个HTML文件 (csrf.html), 直接在浏览器中打开就可以看到效果。也可以使用Spring Boot 创建另外一个项目。

项目创建步骤

1. 银行网站创建和运行

  1. 进入Spring Boot的在线项目生成器页(https://start.spring.io/), 生成bank 的项目框架, 选择 Web和Security。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
oscar999
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Spring Security 6.x 系列【21】漏洞防护篇之跨站请求伪造
记录知识、锤炼自我
07-12 7953
除了认证授权外功能外,还提供了安全防护功能,比如跨站请求伪造 (CSRF跨站请求伪造,通常缩写为CSRF或者XSRF。简单来说就是攻击者通过一些技术手段,欺骗用户的浏览器去访问一个自己曾经认证过的网站,并运行一些操作,比如发消息、转账、购买商品等。
跨站请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5614
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
跨站请求伪造解决方案
最新发布
我这个代码你能看懂吗?
07-16 535
防止CSRF攻击的方法有很多,最常见和有效的方法是使用CSRF令牌。其他方法如验证HTTP Referer头、使用SameSite Cookie属性和双重提交Cookie也可以作为辅助措施。根据具体的应用场景和需求,可以选择一种或多种方法来保护你的应用免受CSRF攻击
实现 CSRF 攻击简单示例
weixin_33989780的博客
06-21 2477
为什么80%的码农都做不了架构师?>>> ...
php web开发安全之csrf攻击的简单演示和防范(一)
weixin_30614587的博客
05-06 135
csrf攻击,即cross site request forgery跨站(域名)请求伪造,这里的forgery就是伪造的意思。网上有很多关于csrf的介绍,比如一位前辈的文章浅谈CSRF攻击方式,参考这篇文章简单解释下:csrf 攻击能够实现依赖于这样一个简单的事实:我们在用浏览器浏览网页时通常会打开好几个浏览器标签(或窗口),假如我们登录了一个站点A,站点A如果是通过cookie来跟踪用户的会话...
【漏洞】CSRF跨站请求伪造漏洞,springboot修复思路
a987212198的博客
02-15 3996
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。
CSRF攻击演示
Leon_Jinhai_Sun的博客
05-22 174
创建银行应用 引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupI
SpringBoot+SpringSecurity+Thymeleaf 演示CSRF攻击
怪咖@的博客
06-07 2518
1. 通过代码示例来 演示CSRF攻击!2. 通过security给我们提供的保护机制,来进行防止CSRF攻击 3. security防止CSRF的原理
spring boot实战之CSRF跨站请求伪造
热门推荐
思与学的博客
10-06 2万+
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java springboot 通过Referer防止跨站请求伪造
qq_44154912的博客
10-21 4145
防止跨站请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
csrf攻击与防护—1用flask简单演示csrf攻击
ACBC12345的博客
12-06 319
目录结构 flask_test |__templates(它包含bank_page.html和page_attack.html) |__bank.py |__csrf_attack.py bank.py from flask import render_template, Flask, request, jsonify, make_response app = Flask("haha") YOUR_BANK_COUNT = 1000000000 TOKEN = "0ofjsfnnfgxgxgxgreitu
CSRF攻击理解、简单演示与预防
子悠のziyou
10-28 1783
快速理解CSRF攻击原理与预防,并进行了简单的演示
java 过滤攻击报文_Spring Boot XSS 攻击过滤插件使用
weixin_42411003的博客
02-26 178
XSS 是什么XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与 CSS(Cascading Style Sheets)名词混淆,故将跨站脚本攻击简称为 XSS,XSS 是一种常见 web 安全漏洞,它允许恶意代码植入到提供给其它用户使用的页面中。xss 攻击流程简单 xss 攻击示例若网站某个表单没做相关的处理,用户提交相关恶意代码,浏览器会执行相关的代码。解决方案...
Springboot集成CSRF攻击
hao_kkkkk的专栏
10-20 2513
springboot CSRF攻击防护
Spring Security跨站请求伪造CSRF
猪猪神功屁
08-03 1797
spring security 中 csrf
Springboot和Angular的CSRF防御
木木
09-07 1338
CSRF 是什么 跨站请求伪造 知乎解答搬运: csrf是什么. Springboot CSRF Angular CSRF Angular官方文档: cross-site-request-forgery. 在跨站请求伪造(XSRF 或 CSFR)中,攻击者欺骗用户,让他们访问一个假冒页面(例如 evil.com), 该页面带有恶意代码,秘密的向你的应用程序服务器发送恶意请求(例如 example-bank.com)。 假设用户已经在 example-bank.com 登录。用户打开一个邮件,点击里面的链接,
Java微服务实践:Spring Boot 安全与CSRF防护
"Java微服务实践,特别是Spring Boot的安全机制,包括客户端安全和服务器端安全,重点讲解了防止跨站请求伪造CSRF)的策略。Spring Boot Security被用来整合和增强应用的安全性,同时也提供了关于CSRFToken的管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oscar999

送以玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值