代码审计之CSRF原理及修复

最新推荐文章于 2024-06-24 14:36:15 发布
最新推荐文章于 2024-06-24 14:36:15 发布
阅读量553 收藏
点赞数
分类专栏: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18501087/article/details/101594105
版权

安全库:http://www.seclibs.com/
网络安全爱好者的安全导航,专注收集信安、红队常用网站、工具和技术博客

在平时的测试中,csrf也是比较容易发现的,主要就是看它对一个操作,有没有检测其时效性(这样表述可能不太准确),一般的防护方法就是添加token来进行校验,并及时对其进行失效处理。

以下所有代码都是我自己写的,可能有不美观,代码错误等等问题,希望大家可以指正。

file

在进行添加的时候进行抓包

file

利用burp自带的工具转成CSRF利用代码

file

此时,我们先看一下当前的内容

file

然后,就需要构造一个链接,然后想办法让受害者去点击它,然后执行我们预定的操作,这里我直接本地打开

最低0.47元/天 解锁文章
Vesel『无心』
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码审计csrf,ssrf
willow_liang的博客
11-12 369
CSRF (Cross -site request forgery)跨站请求伪造 csrf原理击者盗用了你的身份,以你的名义向第三方网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了击者所期望的一个操作,比如以你的名义发送邮件,发私信,添加管理用户,甚 至于交易转账等。 击者在用户浏览网页时,利用页面元素(例如img的src),强迫受害者的浏览器向Web应用程序发送一个改变用户信息的请求。由于发生CSRF击后,击者是强迫用户向服务器发送请求,所以会造成用户信 息被...
CSRF(Cross-Site Request Forgery)漏洞修复方案
qq_40472157的博客
05-29 540
【代码】CSRF(Cross-Site Request Forgery)漏洞修复方案。
CSRF代码审计
最新发布
weixin_45653478的博客
06-24 352
浏览器在接收到这些击性代码后,根据网站B的请求,在用户不知情的情况下携带 Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的 Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。击者可在其服务器上创建钓鱼页面,其中包含构造的发送修改用户密码请求的代码, 当用户在已登录网站的情况下点击击者发送的钓鱼链接时,密码将被修改。Referer校验,对HTTP请求的Referer校验,如果请求Referer的地址不在允许的列表中,则拦截请求。
java代码审计CSRF
糖小喵
05-06 631
介绍 这种漏洞一般不需要通过代码审计来发掘直接黑盒最方便 CSRF原理 审计策略 此类漏洞一般都会在框架中解决修复,所以在审计 csrf 漏洞时。首先要熟悉框架对 CSRF 的防护方案, 一般审计时可查看增删改请求重是否有 token、 formtoken 等关键字以及是否有对请求的 Referer 有进 行校验。手动测试时,如果有 token 等关键则替换 token 值为自定义值并重...
JAVA代码审计与安全编码
liguangyao213的博客
02-17 572
JAVA安全编码与代码审计 java代码审计系列视频课程 概述 本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举。 XXE 介绍 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。文档类型定义(DTD)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。 内部声明DTD: 引用外部DTD: 当允许引用外部实体时,恶
Java代码审计安全篇-CSRF漏洞
m0_63138919的博客
03-17 1270
本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
web渗透测试之代码审计
赤赤三的博客
03-21 2943
基本信息: 原理: 代码安全测试是从安全的角度对代码进行测试评估 结合丰富的安全知识、编程经验、测试技术,利用静态分析和人工审核的方法寻找代码在架构和编码上的安全缺陷,在代码形成软件前将业务安全降到最低 方式: 人工+工具双重审核 人工审核: 既能解决内部问题也能解决外部问题,最有效率的解决方案,理论上人工审核最有效,但是效率不高,所以会采用自动化分析工具辅助人工的方式来提供效率 静态分析工具: 通过一组全面规则、测试机制和方针在软件开发过程、测试过
Java Web安全之代码审计
Fly_鹏程万里
02-13 8345
信息安全的75%发生在Web应用而非网络层。本文内容主要以Java Web安全-代码审计为中心展开。 一、JavaWeb 安全基础 1. 何为代码审计? 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题,由于Java本身是编译型语言,所以即便只有class文件的情况下我们依然可以对Java代码进行审计。对于未编译的Java源代码文件我们可以直接阅读其...
AKun Wallpaper 代码审计实战分析6
鸥鹭忘机
01-16 865
前言 通过前面5期的代码审计,我们已经修复了这套系统的绝大部分漏洞,同时也学习到了不少知识。这一篇文章是这一个系列的最后一篇文章,接下来我将继续分析漏洞原理并讲解修复方法。 AKun Wallpaper 代码审计实战分析1:https://blog.csdn.net/rpsate/article/details/122354690 AKun Wallpaper 代码审计实战分析2:https://blog.csdn.net/rpsate/article/details/122387998 AKun Wal
bluecms源码 初级代码审计
07-31
【标签】:“代码审计”是指对软件源代码进行深度检查,查找并修复可能导致安全问题的错误或弱点;“PHP”是该源码所使用的编程语言,它是Web开发中广泛采用的一种脚本语言,尤其在构建内容管理系统(如BlueCMS)时...
zzcms8.1.zip
01-20
代码审计则可能意味着开发者在发布前对源代码进行了详尽的检查,以确保其遵循最佳实践,消除潜在的安全隐患和性能瓶颈。 在【压缩包子文件的文件名称列表】中,只列出了“zzcms8.1”,这可能是压缩包内的主目录名,...
espcms_utf8_v5.8.14.02.12.zip
02-09
在此次分享的"espcms_utf8_v5.8.14.02.12.zip"压缩包中,包含了ESP CMS的源码、安装说明以及漏洞利用说明,是PHP代码审计的学习资料,对于深入理解CMS架构和提升安全意识具有重要价值。 源码分析: 1. **框架结构*...
jforum2.1.9代码及SQL SERVER数据库备份
05-22
2. **安全性**:jForum在2.1.9版本中已经对许多安全漏洞进行修复,包括XSS跨站脚本击、CSRF跨站请求伪造等,开发者可以通过源码研究其安全机制。 3. **用户管理**:论坛的用户系统是核心部分,包括注册、登录、...
用于演示Java Web项目中,漏洞的成因及修复方案,可用于黑盒测试和白盒测试,部分修复方案可用于生产环境。.zip
01-28
本资源"用于演示Java Web项目中,漏洞的成因及修复方案,可用于黑盒测试和白盒测试,部分修复方案可用于生产环境"提供了关于Java Web项目安全性的深入理解和实践指导。以下是基于标题、描述和标签所涉及的知识点的...
phpstudy apache无法启动的解决办法
热门推荐
无心的博客
05-02 1万+
最近几天一直在跟着大佬做tp框架程序的审计,3.x跟5.x都有,收获也颇多,只有在大量的练习和尝试之后才能学到更多的东西,仅仅去看书、看别人的案例并不会有太大的收获,只有在自己多摸索,多思考之后才会有更多的收获。 但是这篇并不是说审计中的东西的,这里说的是phpstudy的问题,平时为了方便就使用了phpstudy来进行操作了,但是在实际的使用中,还是发现有很多的问题,apache不明不白的就打不...
使用netsh来进行端口转发
无心的博客
04-19 8188
文章首发公众号:无心的梦呓 此处文章不好排版,请移步到公众号查看 在历史消息中搜索:使用netsh来进行端口转发 目录 0x00 简介 0x01 2003命令介绍 0x02 2003以后命令介绍(以08为例) 0x03 实际利用案例 0x04 流量转发 正文 0x00 简介 netsh(Network Shell) 是一个windows系统本身提供的功能强大的网络配置命令行工具(来源于百度百科)...
socat在Windows下的使用
无心的博客
09-27 6445
目录 0x01 socat的简介 0x02 socat进行文件传输 0x03 socat正向端口转发 0x04 socat反向端口转发 注: 边界机器 win08 192.168.222.175 内网机器 win7 192.168.222.137 0x01 socat的简介 socat是一个多功能的网络工具,名字来由是” Socket CAT”,可以看作是netcat的N倍加强版,其原版本是基于L...
安全开发实践:安全编码与代码审计策略
"安全开发-安全编码及代码审计-李降龙.pdf" 在软件开发中,安全编码和代码审计是至关重要的环节,它们旨在确保应用程序在设计和开发阶段就能有效地抵御各种安全威胁。安全编码旨在通过遵循特定的规则和最佳实践,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值