CSRF攻击方式及解决方法

最新推荐文章于 2024-05-13 08:13:39 发布
最新推荐文章于 2024-05-13 08:13:39 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: laravel 文章标签: csrf 表单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21796899/article/details/78714424
版权

场景一:网站表单数据提交没有任何验证,直接把表单数据插入数据库。
攻击:根据提交地址直接循环访问该地址,插入数据

<form action="http://xxx.com/laravel54/public/msg" method="post">
        <p><input name="uname" type="text" value=""></p>
        <p><textarea name="content"></textarea></p>
        <p><input type="submit" value="提交"></p>
</form>

场景二:网站表单数据提交开启了session验证,表单数据插入数据库。
攻击:通过广告或链接,获取用户当前浏览器cookie,伪造header头,访问目标网站

<?php
//1.初始化(curl_http)
$ch = curl_init(); 

//2.配置
    //2.1设置请求地址
    curl_setopt($ch, CURLOPT_URL, 'https://www.XXX.com/article/ajaxedit');
    //2.2设置响应的数据流赋给变量而不是直接输出
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    //2.3设置post请求
    $postData = [];
    curl_setopt($ch, CURLOPT_POST, true);
    curl_setopt($ch, CURLOPT_POSTFIELDS, $postData);
    //2.4伪造header头
    $header = array('Cookie:xxxxxxxxx');  
    curl_setopt($ch,CURLOPT_HTTPHEADER,$header);
    //2.5https请求 不验证证书和hosts
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE); 
    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
//3.发送请求
$data = curl_exec($ch);
echo $data;die;
//4.关闭请求
curl_close($ch);
?>

解决方式

步骤1:页面所有表单提交时候生成一个随机字符串保存在session中,并且在表单中隐藏该随机字符串。
步骤2:处理表单程序进行验证(判断表单提交的隐藏的数据是否和session中的一致)

Laravel中避免CSRF攻击

1 开启csrf攻击:修改app\Http\Kernel.php中的\App\Http\Middleware\VerifyCsrfToken::class
2 在页面增加csrf隐藏域避免站内失效
<input type="hidden" name="_token" value="{{ csrf_token() }}">
注意:若表单数据要插入数据库,别忘去掉接收数据中的_token项

查看

晨曦之光11
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是csrf攻击如何避免,CSRF攻击与防御
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
05-05 2896
CSRF攻击攻击原理及过程如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4. 网站B接收到用户求后,返回一些攻击性代码,并发出一个求要求访问第三方站点A;
WEB前端常见受攻击方式解决办法总结
10-15
【WEB前端常见受攻击方式解决办法】 WEB前端的安全问题不容忽视,因为它直接影响到用户的个人信息安全和网站的正常运行。本文主要关注四种常见的攻击方式及其防范措施:SQL注入、跨站脚本攻击(XSS)、跨站求...
CSRF 解决方案
asxw00的博客
09-18 547
小饥梳理了一遍公司网站所有的接口,发现很多接口都存在这个问题。于是采用了anti-csrf-token的方案。 具体方案如下: 服务端在收到路由求时,生成一个随机数,在渲染页面时把随机数埋入页面(一般埋入 form 表单内,<input type="hidden" name="_csrf_token" value="xxxx">) 服务端设置setCookie,把该随机数作为cookie或者session种入用户浏览器 当用户发送 GET 或者 POST 求时带上_csrf_t.
什么是 CSRF 、原理及其解决方式
最新发布
Innocence_0的博客
05-13 657
验证 HTTP Referer 字段根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 求的来源地址。那么转账的操作一定是用户登录知乎在本站点的页面上操作的,因为可以将Referer字段限制为只允许本站点。在求地址中添加token并验证CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的求,该求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。
浅谈CSRF攻击方式
白鸽
08-12 1050
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在2000年
常见的攻击手段--CSRF
weixin_33939380的博客
12-12 345
2019独角兽企业重金招聘Python工程师标准>>> ...
csrf攻击
u011482763的博客
08-07 474
从零开始学CSRF Black-Hole2015-01-13共1720883人围观 ,发现 69 个不明物体WEB安全 ‍‍为什么要拿CSRF来当“攻击手法系列”的开头篇呢?因为CSRF/XSRF我个人喜爱他的程度已经超过XSS了。如果说XSS是一个老虎,那么CSRF就是隐藏在暗处的蛇。‍‍‍‍‍‍ ‍‍相信现在很多人不明白CSRF是怎么运作,他和XSS的不同是在哪里
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
前端安全:如何防止CSRF攻击
02-24
在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF攻击方式通常是攻击者向用户发送留言或伪造嵌入页面,带有危险操作链接。当用户点击了攻击者的连接时,该链接对用户的账户进行了操作,这个操作是用户在网站中主动发出的,并且也是针对网站的HTTP链接求,同源...
关于django 1.10 CSRF验证失败的解决方法
09-18
Django 的 CSRF 验证是用于保护 Web 应用程序免受跨站求伪造(Cross-Site Request Forgery,简称 CSRF攻击的一种机制。CSRF 攻击通常发生在用户已登录一个网站并持有有效会话(如 Cookie)的情况下,攻击者通过...
csrf 攻击解决方案
pzqingchong的专栏
01-08 417
csrf 攻击解决方案
csrf攻击原理与解决方法
hengliang_的博客
09-10 5520
0x01前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击的原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大
Spring官方提供【CSRF攻击解决方案
qq_35040959的博客
01-16 1641
·Spring官方提供【CSRF攻击解决方案
CSRF介绍和解决方案
qq_47075878的博客
05-07 729
csrf的简单介绍和解决方式
CSRF、XSS攻防原理及解决方案
2401_84466359的博客
05-10 832
用户C打开浏览器,访问受信任网站A,输入用户名和密码求登录网站A;在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送求到网站A;用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;网站B接收到用户求后,返回一些攻击性代码,并发出一个求要求访问第三方站点A;浏览器在接收到这些攻击性代码后,根据网站B的求,在用户不知情的情况下携带Cookie信息,向网站A发出求。
csrf 原理与解决方案
水墨江南
10-09 6404
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号...
ASP.NET MVC4/5 - Ajax 防止 CSRF攻击
weixin_30660027的博客
12-24 239
前言 CSRF(Cross-site request forgery跨站求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。本文使用ASP.NET MVC提供的AntiForgery进行安全验证 应用 一、自定义FilterAttribute过滤器 1 /// <summary&...
CSRF攻击原理与解决方法
07-24
CSRF(Cross-Site Request Forgery)攻击是一种常见的网络安全漏洞,它利用了...以上是一些常见的CSRF攻击解决方法,但并不是绝对安全的,开发者在设计和开发过程中还需要综合考虑其他安全措施来确保网站的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值