【csrf 】攻击和防御

最新推荐文章于 2024-08-08 15:20:32 发布
最新推荐文章于 2024-08-08 15:20:32 发布
阅读量92 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32265719/article/details/102566271
版权

常规安全验证 


http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 // 通过安全验证
http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory //不能通过安全验证

csrf骚操作

黑客伪站链接 src=”http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory ”
广告连接诱导-》当 Bob 访问该网站时,上述 url 就会从 Bob 的浏览器发向银行
而这个请求会附带 Bob 浏览器中的 cookie 一起发向银行服务器。大多数情况下,该请求会失败,因为他要求Bob的认证信息但是,如果 Bob 当时恰巧刚访问他的银行后不久,他的浏览器与银行网站之间的 session 尚未过期,浏览器的 cookie 之中含有 Bob 的认证信息 这时,悲剧发生了,这个 url 请求就会得到响应,钱将从 Bob 的账号转移到 Mallory 的账号,这个操作对服务器来说时合法的!!!


csrf 原因


CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。

关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie/localStorage 之中


方案


1.验证 HTTP Referer 字段  这个方案依赖浏览器对http的实现,并且,低版本ie浏览器可以修改这个字段,并且,存在客户隐私问题
2.在请求地址中添加 token 并验证(非ajax请求
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token
token 可以在用户登陆后产生并放于 session 之中,然后在每次请求时把 token 从 session 中拿出,与请求中的 token 进行比对  http://url?csrftoken=tokenvalue  在前端调用请求的时候,需要做相关参数处理,容易漏掉


3.在 HTTP 头中自定义属性并验证 通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中,局限于 Ajax 方法中对于页面局部的异步刷新(ajax请求

4.token 其实可以存储在sessionStorage中(会话级别的存储),不过请求参数中的token和sessionStorage中的token不能完全相同,依赖一个中间的secretkey来进行比较。黑客要么知道secret key,要么必须同时知道参数中的token和sessionStorage中的token,才能成功发动攻击。

https://blog.csdn.net/stpeace/article/details/53512283   csrf 攻击和防御 

良言SE
关注
专栏目录
CSRF攻击防御
NiceGY
04-25 2202
SRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 CSRF漏洞简介 CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执
CSRF攻击防御,Web安全的第一防线
01-27
CSRF(跨站请求伪造)攻击...总之,CSRF攻击是一种严重的安全威胁,开发者应当采取多种防御措施,如Token验证、Referer检查等,确保Web应用程序的安全性。同时,定期进行安全审计和漏洞扫描是预防CSRF攻击的关键步骤。
CSRF 攻击的应对之道
sarck3的专栏
02-12 1095
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
XSS和CSRF攻击防御
qq_65665724的博客
07-18 966
前端安全防护是每一位开发者不容忽视的责任。通过深入理解XSS与CSRF攻击原理,结合输入验证、输出编码、启用CSP、使用Anti-CSRF Tokens、配置SameSite Cookie属性和强制HTTPS等策略,我们可以有效抵御这两种常见攻击,保障用户数据安全和网站稳定性。作为博主,我将持续分享前端安全领域的知识与实践经验,助力广大开发者共建更安全的网络环境。
CSRF攻击防御
qq_45448359的博客
03-15 387
CSRF 特点和原理 CSRF:Cross Site Request Forgery,跨站请求伪造 本质是:恶意网站把正常用户作为媒介,通过模拟正常用户的操作,攻击其登录过的站点。 它的原理如下: 用户访问正常站点,登录后,获取到了正常站点的令牌,以cookie的形式保存 用户访问恶意站点,恶意站点通过某种形式去请求了正常站点(请求伪造),迫使正常用户把令牌传递到正常站点,完成攻击 防御 cookie的SameSite 现在很多浏览器都支持禁止跨域附带的cookie,只需要把cookie设置的
CSRF 攻击防御
weixin_45901764的博客
03-15 995
CSRF 什么是 CSRFCSRF(跨站请求伪造),攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。 CSRF 攻击主要是因为Web的身份验证机制虽然可以保证一个请求是来自某个用户的浏览器,但是无法保证该请求是用户批准发送的 CSRF的特点 攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生。 攻击利用受害者在被攻击网站的登录凭证,冒充受害者
CSRF攻击防御
mocas_wang的博客
12-22 3220
目录 1 CSRF介绍 1.1、CRSF攻击原理 1.2、攻击举例 2 攻击实例 2.1 CSRF的原理 2.2 CSRF防御 1 CSRF介绍 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,...
Node中的CSRF攻击防御
weixin_47121832的博客
08-08 534
Node中的CSRF攻击防御
csrf攻击防御,xss攻击防御
ITxiaojunjun的博客
11-07 254
csrf攻击防御,xss攻击防御
浏览器安全、XSS 攻击CSRF 攻击防御攻击、中间人攻击、网络劫持
热门推荐
liangzhenmeng的博客
07-26 5万+
CSRF 攻击指的是跨站请求伪造攻击攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态,绕过后台的用户验证,冒充用户向服务器执行一些操作。CSRF 攻击的本质是利用 cookie 会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充。
信安小白,一篇博文讲明白CSRF攻击防御
.G();的博客
10-23 1829
靶机系统:Win7 CSRF攻击防御前言一、CSRF是什么1.如何判断存在CSRF漏洞?2. 分析中级CSRF源码加固机制3. 分析高级CSRF源码加固机制4. 分析Impossible级CSRF源码加固机制二、XSS和CSRF比较三、CSRF攻击案例四、CSRF防御实验 前言 如果没有XSS漏洞,还能否盗用用户的身份(cookies)呢? DVWA实验目标: 修改用户登录密码。   我们日常生活中,碰到修改密码时,需要填入原密码,才能再修改密码,或者填入密保问题再修改,还有的是使用手机验证码验证后才
5分钟科普CSRF攻击防御,Web安全的第一防线
02-25
上图为CSRF攻击的一个简单模型,用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网站A之间可能已经有信任关系导致这个请求就像用户真实发送的一样会被执行。攻击者盗用了你的...
卡通风格化魔法术技能粒子特效 :Toon Projectiles 2 1.0
10-19
这款卡通射击特效资源包提供了 15 种独特的射击物、命中效果和闪光效果,风格统一且易于与您的项目集成。它默认支持 Unity 的内置渲染器,并且兼容 HDRP 和 URP 渲染管线。如果您拥有 Hovl Studio 的其他资源,该包将免费提供。所有效果均在各平台兼容,并且可以通过标准尺寸值轻松调整命中效果的大小。需要注意的是,调整射击物大小时,可能需要修改轨迹长度和按距离生成的速率。 该资源还包含了一个演示场景射击脚本,方便用户快速了解如何使用这些特效。该资源包还与 InfinityPBR 的 Projectile Factory 插件兼容,可以进一步增强您的射击游戏效果。 需要注意的是,推广媒体中使用的后处理效果 "Bloom" 并非资源包自带,建议用户在下载资源包之前,先行从 Unity 包管理器下载 "Post Processing Stack"。HDRP 和 URP 渲染管线的用户可以直接利用内置的 "Volume" 组件中的 "Bloom" 效果。
在 MATLAB GUI 中动态更新数据:策略与实践
10-19
通过本文的详细介绍,你应该能够理解如何在 MATLAB GUI 中更新数据。从设计 GUI 界面到处理用户输入,再到动态更新数据,每一步都是构建交互式 MATLAB 应用程序的关键。通过实际的代码示例,你可以更深入地理解这些概念,并将其应用到你自己的项目中。 记住,GUI 的设计和实现是一个迭代的过程。随着你对用户需求的更深入了解,你可能需要不断调整和优化你的 GUI。通过持续的测试和反馈,你可以创建一个既美观又功能强大的 MATLAB GUI 应用程序
【JCR一区级】Matlab实现白鹭群优化算法ESOA-CNN-BiLSTM-Attention的故障诊断算法研究.rar
最新发布
10-20
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
信创实验室建设方案(24页).pptx
10-19
信创实验室建设方案(24页)
KGBrowserSetup-x86-V1.0.0.100-20190315.exe
10-19
KGBrowserSetup_x86_V1.0.0.100_20190315.exe
CSRF攻击详解与防御策略
为了防御CSRF攻击,网站开发者应采取以下措施: - **验证Referer头**:确保请求来源与预期的域名一致,防止恶意URL伪造。 - **使用CSRF令牌(CSRF Token)**:在表单提交时,服务器生成一个随机令牌并存储在Cookie或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值