常见的web攻击方式之CSRF

最新推荐文章于 2024-10-04 21:13:01 发布
最新推荐文章于 2024-10-04 21:13:01 发布
阅读量191 收藏
点赞数
分类专栏: web安全 文章标签: 安全 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16049879/article/details/104769753
版权

定义

  • CSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见的Web攻击
  • 它利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。

操作实现

  • 用户已经登录了站点A,并在本地记录了 cookie
  • 在用户没有登出站点A的情况下(也就是 cookie生效的情况下),访问了恶意攻击者提供的引诱危险站点B(B站点要求访问站点A)
  • 站点A没有做任何CSRF防御
  • 模拟攻击,登录http://localhost:4000/csrf.html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>CSRF模拟攻击</title>
</head>
<body>
<script>
    document.write('<form action="http://localhost:3000/updateText" method="POST">添加评论<input type="text" name="text" value="CSRF评论" /></form>')
    var iframe = document.createElement('iframe')
    iframe.name = 'csrf'
    iframe.style.display = 'none'
    document.body.appendChild(iframe)
    setTimeout(() => {
        document.querySelector('form').submit()
    }, 1000)
</script>
</body>
</html>

危害

  • 利用用户登录态、用户不知情
  • 完成业务请求、盗取用户资金(转账,消费)
  • 冒充用户发帖背锅、损害网站声誉

防范手段

  • 禁止第三方网站带cookie-有兼容性问题
  • Referer Check - HTTPS不发送referer(不一定所有的都有Referer)
app.use(async (ctx, next) => {
    await next()
    const referer = ctx.request.header.referer
    console.log('Referer', referer)
})
  • 验证码(最有效)
慕斯策划一场流浪
关注
专栏目录
网络安全初探-CSRF攻击方式&&防御手段
LYFlied的博客
05-19 1473
文章目录一、CSRF二、常见的攻击类型1.GET类型的CSRF2.POST类型的CSRF3.链接类型的CSRF三、CSRF的特点四、防护策略1.同源检测Origin Header和Referer HeaderSamesite Cookie属性2.提交时要求附加本域CSRF Token双重Cookie验证 一、CSRF CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭
CSRF攻击介绍及常用防御手段
yinn
09-22 9405
什么是CSRF攻击? CSRF(跨站点请求伪造),就是攻击者诱使用户访问了一个页面,以该用户身份在第三方站点里执行相关操作。 比如:登陆了sohu博客后,只需要请求这个url,就能够吧编号为“156713012”的博客文章删除 http://blog.sohu.com/manage/entry.do?m=delete&id=156713012 攻击者首先在自己的域构造一
保护您的网站免受CSRF漏洞攻击:了解其简介和常见类型
weixin_43263566的博客
02-02 750
CSRF漏洞简介、类型、攻击方式
XSS和CSRF——Web安全领域常见的两种攻击方式
Concise200的博客
03-28 6362
Web安全领域,XSS和CSRF是最常见攻击方式
常见web攻击有哪些
流浪喵的博客
08-13 1203
身处在互联网时代,我们享受着互联网带来的便利的同时,也遇到各种各样的问题, 其中网络安全就是其中之一,今天我们来谈一下常见web攻击吧。 作者:王奎     我的博客:www.marksaas.com 溢出攻击 最早遭受破坏的,且仍旧普遍的攻击来源于开发人员对最终 用户输入的数据可以信任的假设。大部分程序设计人员未预料在用户名框中得到 40,000 行文本,或者从密码框中获得甚至非
Web安全CSRF攻击详解与防护
J老熊
09-08 1673
CSRF攻击是指黑客通过欺骗用户在不知情的情况下向受信任的服务器发送请求,从而执行用户并未授权的操作。由于浏览器的同源策略,浏览器会自动携带当前登录用户的身份凭证(如Cookie),导致服务器误以为请求是合法用户发出的。用户登录电商系统,并在浏览器中保持会话(比如通过Cookie保存登录状态)。攻击者构造一个恶意网站,诱导用户访问该网站。恶意网站通过用户的浏览器向电商系统发送请求,例如提交订单、修改账户信息等。由于用户已经登录,服务器在收到请求时会认为是合法请求,从而执行攻击者的恶意操作。
Web安全系列之CSRF攻击
2401_84300128的博客
04-28 880
csrf 全称跨站请求伪造(Cross-site request forgery),指的是攻击者携带网站cookie,冒充用户请求的攻击行为。
常见Web攻击手段之CSRF攻击
weixin_45116657的博客
10-11 1165
对于常规的Web攻击手段,如XSS、CRSF、SQL注入、(常规的不包括文件上传漏洞、DDoS攻击)等,防范措施相对来说比较容易,对症下药即可,比如XSS的防范需要转义掉输入的尖括号,防止CRSF攻击需要将cookie设置为httponly,以及增加session相关的Hash token码 ,SQL注入的防范需要将分号等字符转义,等等做起来虽然筒单,但却容易被忽视,更多的是需要从开发流程上来予...
详解WEB攻击之CSRF攻击与防护
10-17
CSRF攻击之所以危险,是因为它能够利用用户的浏览器已保存的会话(session)信息,例如登录状态或Cookie,来执行未授权的命令。 CSRF攻击的定义涵盖了几个关键元素。首先,这种攻击通常发生在用户已经登录到一个...
WEB前端常见攻击方式及解决办法总结
10-15
WEB前端常见攻击方式及解决办法】 WEB前端的安全问题不容忽视,因为它直接影响到用户的个人信息安全和网站的正常运行。本文主要关注四种常见攻击方式及其防范措施:SQL注入、跨站脚本攻击(XSS)、跨站请求...
.888勒索病毒解密方法|勒索病毒解决|勒索病毒恢复|数据库修复
数据恢复研究℃
10-01 800
引言在数字化时代,网络空间的威胁日益增多,其中勒索病毒已成为数据安全领域的一大挑战。近期,.888勒索病毒作为一种新型的恶意软件,正逐渐引起人们的广泛关注。本文将详细介绍.888勒索病毒的特点、如何恢复被其加密的数据文件,以及预防该病毒的有效策略。.888勒索病毒不断更新和变异的特点,是其能够持续威胁网络安全的重要因素。
从密码学看盲拍合约:智能合约的隐私与安全新革命!
Huahua_1223的博客
09-28 1210
随着区块链技术的发展,智能合约在各种场景中的应用越来越广泛。盲拍合约作为一种新兴的智能合约形式,利用密码学原理为参与者提供了隐私保护和安全保障。这种合约不仅增强了竞拍的公平性,还消除了时间压力,让参与者能够在更为放松的环境中进行投标。本文将深入探讨盲拍合约的定义、优势、工作原理以及代码实现,旨在为读者提供一个全面的理解。盲拍合约是一种智能合约,允许参与者在不公开其出价的情况下进行竞拍。参与者提交一个“盲出价”,其中包含出价金额、一个虚假的标记以及一个秘密值。
什么是托管安全信息和事件管理 SIEM?
网络研究观
09-28 1879
SIEM 解决方案是组织网络安全基础设施的重要组成部分
【隐私计算篇】多方安全计算之函数秘密共享(FSS)
最新发布
源泉的小广场
10-04 667
fss、函数秘密共享、函数秘密分享、分布式点函数、DPF、Distributed Point Function、多方安全计算、安全多方计算、MPC、多服务器PIR、SilentOT、PCG for tensor product from LPN and FSS
安全服务面试
m0_74402888的博客
09-28 792
内网的计算机可向 Internet 上的其他计算机发送连接请求,但 Internet 上其他。个列表中的 IP 进行 SYN+ACK 的重试。明白这种攻击的基本原理,还是要从 TCP 连接建立的过程开始说起:大家都知道,TCP 与。的 IP 地址,如果攻击者以数万/秒的速度发送 SYN 报文,同时利用 SOCK_RAW。Internet 上的计算机,但 Internet 上的计算机无法访问局域网内的计算机。内网的计算机以 NAT(网络地址转换)协议,通过一个公共的网关访问 Internet。
等保测评:企业数字安全的坚实盾牌
w13359990065的博客
09-30 1769
据权威机构统计,未通过等保测评的企业在遭遇网络安全事件时,其数据泄露风险高出已通过企业近30%,这不仅直接威胁到企业的核心资产安全,还可能导致品牌信誉的严重受损。以某知名电商企业为例,因忽视等保测评,其支付系统曾遭受黑客攻击,导致大量用户信息泄露,最终不仅面临巨额罚款,还失去了大量客户的信任,市场份额一落千丈。以某知名电商企业为例,其在一次等保测评中发现,其支付系统存在一处严重的SQL注入漏洞,该漏洞允许攻击者通过构造特定的输入参数,绕过系统验证,直接访问数据库,进而获取敏感信息。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 880
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
详解:Web应用中的CSRF攻击原理与防护策略
本文深入探讨了跨站请求伪造(CSRF,Cross-Site Request Forgery)这一Web攻击手段,它是一种常见的网络安全威胁,尤其对于那些依赖用户会话状态的在线服务。CSRF通过利用用户已经登录且活跃的会话,使攻击者能够在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值