CSRF的攻击和防范

最新推荐文章于 2024-09-16 16:45:51 发布
最新推荐文章于 2024-09-16 16:45:51 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: 常见Web攻击手段 文章标签: CSRF的攻击和防范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29301417/article/details/78055227
版权
本文探讨了CSRF(跨站请求伪造)攻击的原理,描述了攻击者如何利用用户的浏览器cookie在恶意站点B上发起对可信站点A的攻击。同时,介绍了防止CSRF的一种常见方法——使用CSRF Prevention Filter。Tomcat提供的这个Filter通过对URL进行编码并生成匹配的token,存储在session中,以此来验证请求的合法性。通过深入分析Manager应用的web.xml配置,进一步理解了Filter的实施细节。
摘要由CSDN通过智能技术生成

xss攻击原理

用户 使用浏览器访问可信的站点A进行业务,此时浏览器会保存站点A相关的cookie

用户 使用浏览器访问一个恶意的站点B,如果站点B中的网页具有指向站点A的链接,攻击就有可能发生。有如下几种情况:


a、站点B返回给用户的页面包含站点A的链接,点击这个链接就会跳转到站点A
b、站点B返回给用户的页面包含<img src='XXX'>,其中XXX就是指向站点A的链接,这样用户只要访问站点B的页面就被攻击了,因为浏览器会解析<img src='XXX'>标签,自动获取XXX的’图片内容‘
c、站点B返回给用户的页面包含自动加载的js,且js中有跳转到站点A的动作,同上,用户只要访问站点B就被攻击了
a、b、c三总跳转的方式不同但是利用的原理是一样的,那就是用户在本地还保存这website1的cookie,再次通过website2上的链接请求站点A时,浏览器就会自动将站点A对应的cookie加上,这样站点A就会认为这个请求是用户合法请求而进行处理。

站点B上的攻击者就可以通过编写特定的请求内容,进行攻击

最低0.47元/天 解锁文章
Tomorrow YE
关注
专栏目录
Tomcat 7 新特性学习之一 - 防止CSRF攻击
iteye_5555的博客
11-08 1802
Tomcat 7 Beta版本出来已经有段时间了,看了JavaEye上的朋友,还是有几个非常勤奋每天都在学习的朋友,他们能够每天学习,坚持下来,实属不易,他们非常的年轻,有几个,我还见过面,小伙子们的好学精神实在让人敬佩。这个社会很浮躁,我自己也是这样,尤其在杭州这种城市里生活,会有一定的压力,毕竟人总是想要更好的生活:想买大大的房子,买个自己喜欢的车子,自己的小孩上学不用着急她的学费。做人的乐趣...
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 7032
什么是CSRF攻击,如何防范CSRF攻击
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat怎样防止跨站请求伪造(CSRF) 1
SpringSecurity原理解析(八):CSRF防御解析
最新发布
liang8999的博客
09-16 1282
在自定义SpringSecurity配置文件中的configure方法中,通过 HttpSecurity 先调用csrf()从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,2)请求到来时,程序会从请求中获取提交的csrfToken,同时会从HttpSession中获取。之前存储的csrfToken进行比较,如果相同则认为是合法的请求,继续后面的操作,这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验,来检查 Referer字段。
CSRF攻击与防御
weixin_39037804的博客
10-30 518
CSRF是什么 CSRF在百度百科中是这么说的:“CSRF(Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session ridin...
Tomcat中使用CSRFPreventionFilter阻止跨站请求伪造
allway2的博客
07-26 965
为解决跨站点请求伪造,在Tomcat中启用CSRFPreventionFilter,如果使用中文需要在CSRFPreventionFilter前增加中文Filter放置中文乱码。之后在JSP和Servlet中使用response.encodeURL()函数包裹所有连接。
Tomcat 7 中 CSRFPreventionFilter 的使用
allway2的博客
07-26 503
代码】Tomcat7中CSRFPreventionFilter的使用。
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
PHP开发中csrf攻击的简单演示和防范
10-19
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对...
理解XSS与CSRF攻击防范措施
Delicia_Lani的博客
07-22 746
一,XSS理解: 比如在一个论坛中,发帖写一段拥有跨站请求功能的JavaScript脚本注入到一条帖子里,该JS代码有请求服务器的操作,然后有用户访问了这个帖子,这就算是中了XSS攻击了。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。有很多种方式进行 XSS 攻击,但它们的共同点为:将一些隐私数据像 cookie、session 发送...
Tomcat 阻止跨站请求伪造过滤器CsrfPreventionFilter.java源码
allway2的博客
07-28 344
代码】Tomcat阻止跨站请求伪造过滤器CsrfPreventionFilter.java源码。
Apache Tomcat Csrf 令牌泄露漏洞
allway2的博客
07-25 808
Host标头的目的是包含请求的目标来源。但是,如果您的应用程序部署在许多不同的地方,例如,开发、测试、QA、生产和可能的多个生产实例,这可能会导致维护问题。例如,如果您的网站是“site.com”,请确保“site.com.attacker.com”没有通过您的来源检查(即,匹配来源之后的尾随/以确保您与整个起源)。一旦您确定了源来源(来自Origin或Referer标头),并且您已经确定了目标来源,但是您选择这样做,那么您可以简单地比较这两个值,如果它们与您不匹配知道你有一个跨域请求。...
Tomcat常用的过滤器
weixin_30619101的博客
03-11 489
前言   之前我很肤浅的以为为了实现某种请求过滤功能(比如图片转换、文件上传、安全认证等),都需要自己去实现javax.servlet.Filter。之后在web.xml中配置即可。   但事实上,Tomcat已经提供了部分相关的过滤器(本文只介绍常用的7个过滤器),只需要简单配置就可以使用。最近通过系统学习Tomcat架构之后,结合部分源码记录总结最常用的几种过滤器。   参考资料《T...
Tomcat 中的跨站点请求伪造防护过滤器
allway2的博客
07-25 1007
由于对此处配置的URL的访问将是免费的(入口点URL将不受CSFR过滤器的保护),因此这些URL不执行任何安全关键操作非常重要。如果毫无戒心的用户使用此URL加载恶意网页,同时用户具有与www.mybank.com网站的活动会话,则此图像标签将能够在用户不知情的情况下从用户帐户中转移资金。如果您使用CSRF预防过滤器,则必须通过单击连接页面的链接来访问所有页面,从入口点页面开始——您不能只在浏览器中键入URL,因为您没有所需的随机数来传回到服务器!,并且也存储在会话中。...
HTTP系列:CSRF跨站攻击防范
NIO4444
10-27 518
CSRF(Cross-site request forgery,跨站请求伪造)伪造请求,冒充用户在站内的正常操作,比如爬虫。 防范的方法 关键操作只接受POST请求 验证码(短信验证码) 检测Referer(header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的。可以伪造) Token Token要足够随机——只有这样才算不可预测 Token是一次性的,即每次请求成功后要更新Token——这样可以增加攻击难度,增...
Tomcat怎样防止跨站请求伪造(CSRF)
Tomcat那些事儿
09-16 1070
对于CSRF,可能一些朋友比较陌生。我们下面先简单介绍下。什么是CSRF呢,我们看下Wikipedia的说明:Cross-site request forgery,即跨站请求伪造,也称为...
DVWA之CSRF攻击(Low&medium&High)
liweibin812的博客
01-14 5292
CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。在20...
csrf攻击ajax,WordPress 使用 Nonces 验证Ajax 请求,防止CSRF攻击 | 智慧宫
weixin_35599225的博客
08-06 552
WordPress Nonces 是 WordPress 生成的仅单次使用 token,来帮助保护 URL 和表单被滥用;如果 WordPress 主题允许提交数据,那么,使用 nonces 可以用于验证用户行为,并且对于保护站点防御 CSRF ( 跨站请求伪造)至关重要;Ajax Nonces创建 Nonce 的方式wp_nonce_url()– 在 URL 中添加 nonce。wp_non...
CSRF漏洞原理攻击与防御(非常细)
m0_61869253的博客
10-12 3451
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
防范CSRF攻击:策略与实战
理解CSRF攻击的本质和防范措施对于任何Web开发者都是至关重要的,这有助于保护用户的数据安全,防止恶意攻击者利用此类漏洞造成损失。通过学习和实践,我们可以构建更健壮、更安全的Web应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值