CSRF-跨站请求伪造

最新推荐文章于 2023-10-21 13:50:15 发布
最新推荐文章于 2023-10-21 13:50:15 发布
阅读量265 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31349051/article/details/119550962
版权

CSRF(Cross site request forger)跨站请求伪造,利用了网站对用户浏览器的信任,把攻击者伪装成合法用户向服务器发送请求,以达到其不可告人的目的。他的大致攻击流程是这样的:

  1. 用户访问一个正常网站,并在这个正常网站上进行了登陆,这时正常网站返回一个cookie来表明该用户已经登陆。
  2. 用户在cookie失效前,又访问了恶意网站。
  3. 恶意网站注入了一段恶意请求,这个请求指向用户刚刚访问的正常网站。
  4. 这个恶意请求会携带上正常网站的cookie,从而在服务端让恶意请求被误认为是用户正常发送的请求。

例如:某银行的转账api为一个get请求:http://www.myBank.com/transfer?target=xx&amount=xx 其中target表示转账目标,amount表示转账金额。用户在登录后拿到一个isLogin: true的cookie。这时用户访问恶意网站,在恶意网站中存在一个img:

<img src='http://www.myBank.com/transfer?target=badGuy&amount=3000'/>

当浏览器开始加载这个图片时,会向src这个地址请求数据,同时会带上http://www.myBank.com这个domain下的cookie,在银行的服务器角度看来,这个请求是完全合法的。用户就会发现自己的卡里少了3000。

首先我们会发现,这个转账请求使用get方法就很不合理,如果我们使用post方法是不是就可以避免CSRF呢?也并不是。比如我们现在使用post请求,那么这个api就会变成ÿ

最低0.47元/天 解锁文章
MyNameIsUndefined
关注
qingmvc#qingmvc#CSRF-跨站请求伪造1
07-25
Cross-site request forgery 跨站请求伪造常见的跨站请求伪造:微博关注操作:get,访问一条链接就关注成功 【除非是某种不受限的api】
快速了解Cookie/Session/Token,以及CSRF跨站攻击
kzc5335475的博客
04-13 473
快速了解Cookie/Session/Token,以及CSRF跨站攻击 本文主要介绍Cookie、Session以及Token的工作机制,以及CSRF跨站攻击,并不涉及到具体以及细节的属性。希望能帮助大家快速了解这几种不同的浏览器用户身份跟踪的会话方式。 无状态的HTTP Http协议本身是无状态的,也就是说每一次请求都是相互独立的,服务器并不能分辨请求是不是来自同一个用户。这样的好处是处理起来迅速,缺点就是在很多场景中,用户的每一步操作都是上下文关联的,比如网购往购物车里加东西,即使没有登录帐号,服务器也
CSRF Token为什么写在Cookie中?CSRF漏洞分析
最新发布
CSDN1csdn1的博客
10-21 895
CSRF或XSRF,跨站请求伪造。简单地说,就是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。这里最最关键的因素是令牌。用户在网站A登陆成功后,服务端颁发令牌并存储到浏览器中。
【浏览器内多个标签页之间的通讯、XSS和CSRF
weixin_40852935的博客
09-02 1021
本题主要考察多页应用中各个页签之间数据交互的技术手段。Redux vuex这个是单页面应用里跨页面状态管理 多页应用 跨页面数据传递实现多页通讯主要有利用Cookiewebsocket。
为什么token能够防止CSRF(修正版)
热门推荐
qq_45888932的博客
04-06 1万+
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击?
jinyangjie的博客
02-14 7023
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
论文研究-跨站请求伪造CSRF)攻击与防范技术研究 .pdf
08-23
跨站请求伪造CSRF)攻击与防范技术研究,刘雅楠,马兆丰,跨站请求伪造CSRF)攻击作为最严重的web漏洞威胁之一被列入了开放Web应用安全项目(OWASP)十大漏洞列表。该攻击具有很大隐蔽性和危
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
前端安全之 防止CSRF攻击
F_efforts的博客
02-24 1866
前端方面不仅仅是把数据渲染在页面上而已、前端要做的事情很多 例如关于安全方面的问题就要做好 假设、一个管理系统,当你登陆系统以后、在你不做安全方面工作的化 别人可以通过你的接口来对你的数据进行增删改查、这就是csrf攻击 数据更改了、有可能会对公司造成很大的影响 关于解决这个问题可以参考如下方案 ----这是我的一个项目 后端用的Node的Express框架搭建...
前端安全:如何防止CSRF攻击?
01-27
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补
JavaScript day13学习笔记
qq_44194406的博客
06-14 105
cookie与localStorage简介
cookie、session、token
abuanden的博客
03-26 511
一、常见验证方式 cookie:客户端使用 cookie直接认证,需要设置 cookie为 httpOnly,可以防止 xss攻击。但是无法防止 csrf攻击。需要设置伪随机数 X-XSRF-TOKEN。(推荐,不需要处理 xss,并且xsrf 随机数有完善的应用机制) 自定义请求头token:客户端使用 auth授权头认证,token存储在 cookie中。这样可以防止 csrf攻击,但是需要防止xss攻击。,因为 csrf只能在请求中携带 cookie,而这里必须从 cookie中拿出相应的值并放到
CSRF安全漏洞
Given Wu
10-31 356
先看看跨站请求伪造(CSRF攻击)理解 一 概念 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 二 过程 1 受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/wit...
前端安全之 CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 6152
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
CSRF漏洞剖析
zmzsg100的专栏
12-04 870
CSRF的前世今生
JavaScript session和cookies和localstorage和sessionstorage
weixin_43971228的博客
06-14 349
session和cookies 相同点: cookies和session都是用来跟踪浏览器用户身份的会话方式 不同点: cookies保存在客户端,session保存在服务端 cookies保存在客户端,没有那么安全,别人可以在客户端分析cookies进行cookies诈骗,考虑到安全应该用session session保存在服务端,访问增多时对服务器会造成压力,考虑到服务器性能问题应该用cook...
xss和csrf详解
weixin_33737774的博客
08-29 354
XSSCross site scripting,全称“跨站脚本”特点是不对服务器造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论时,提交含有js的内容文本,而服务器没有过滤掉或者转义掉这些脚本,作为内容发布到页面上,那么其他用户在访问的时候就会运行这些脚本。for example:​ // 用 &lt;script type="text/javascript"&gt;&lt;/scrip...
跨站请求伪造——CSRF
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
08-18 2330
csrf,不需要知道别人的cookies,伪装成别人 xss,要先知道别人的cookies,伪装成别人
Django中的CSRF(跨站请求伪造)
05-21
Django中的CSRF是一种安全机制,可以防止跨站请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值