CSRF攻击:简单服务器防御

最新推荐文章于 2022-06-25 09:43:46 发布
最新推荐文章于 2022-06-25 09:43:46 发布
阅读量476 收藏
点赞数 1
分类专栏: WEB安全 文章标签: CSRF WEB安全

CSRF(Cross-site request forgery)跨站请求伪造,攻击原理及详细的防御方法:浅谈CSRF攻击方式


CSRF的防御:

 CSRF的防御可以从服务端客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。

 服务端的CSRF防御方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数

 1.Cookie Hashing(所有表单都包含同一个伪随机值):

 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了

<?php
 //构造加密的Cookie信息
 $value = “DefenseSCRF”;
 setcookie(”cookie”, $value, time()+3600);
?>
 在表单里增加Hash值,以认证这确实是用户发送的请求。 

<form method=”POST” action="transfer.php">
   <input type="text" name="toBankId">
   <input type="text" name="money">
   <input type="hidden" name="hash" value="<?=$hash;?>">
   <input type="submit" name="submit" value="Submit">
</form>

 然后在服务器端进行Hash值验证

<?php
    if(isset($_POST['check'])) {
        $hash = md5($_COOKIE['cookie']);
        if($_POST['check'] == $hash) {
            doJob();
        } else {
            //... 
        }
    } else { 
        //... 
    }
?>

这个方法可以防止绝99%的CSRF攻击了,那剩下的1%呢....由于用户的Cookie很容易由于网站的XSS漏洞而被盗取,这就另外的1%。一般的攻击者看到有需要算Hash值,基本都会放弃了,某些除外,所以如果需要100%的杜绝,这个不是最好的方法。


本文转载自浅谈CSRF攻击方式



玩具熊猫
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何防止CSRF攻击
许文杰的博客
03-17 6148
  随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技...
CSRF攻击
weixin_42606458的博客
03-02 1236
对于常规的Web攻击手段,如XSS、CRSF、SQL注入、(常规的不包括文件上传漏洞、DDoS攻击)等,防范措施相对来说比较容易,对症下药即可,比如XSS的防范需要转义掉输入的尖括号,防止CRSF攻击需要将cookie设置为httponly,以及增加session相关的Hash token码 ,SQL注入的防范需要将分号等字符转义,等等做起来虽然筒单,但却容易被忽视,更多的是需要从开发流程上来予以...
csrf防御 php,CSRF防御实例(PHP)
weixin_34940781的博客
04-01 253
CSRF防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。1.服务端进行CSRF防御服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。(1).Cookie Hashing(所有表单都包含同一个伪随机值):这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构...
CSRF防御
代码搬运工
08-08 469
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 1 CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法...
Web前端安全策略之CSRF攻击防御
零一的博客
05-30 2205
Web前端之安全性处理(一)引言正文一、跨站请求伪造(CSRF) 引言 接着上一篇文章,本篇文章我们继续来讲解前端如何处理网站的安全问题,本文主要讲解跨站请求伪造(CSRF) 和 点击劫持 。 没看过之前的文章的小伙伴,可以先看一下,这里放一个链接——Web前端不做好以下几点安全方面的处理,网站安全性大大降低(一) 正文 一、跨站请求伪造(CSRF) 跨站请求伪造,英文全称为Cross Site Request Forgery , 缩写CSRF,这种攻击模式主要是 ...
Python Django框架防御CSRF攻击的方法分析
09-18
在Python的Web开发框架Django中,CSRF...总的来说,Django的CSRF防护机制是强大且灵活的,它为开发者提供了一种简单有效的方式来保护Web应用免受CSRF攻击。遵循这些最佳实践,可以大大提高你的Django应用的安全性。
5分钟科普CSRF攻击防御,Web安全的第一防线
02-25
上图为CSRF攻击的一个简单模型,用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网站A之间可能已经有信任关系导致这个请求就像用户真实发送的一样会被执行。攻击者盗用了你的...
10-CSRF攻击防御1
最新发布
08-03
在讨论CSRF攻击时,我们需要理解其基本原理、常见场景、危害以及防御策略。 CSRF攻击的原理是,攻击者构造一个恶意的请求链接或表单,当受害者在不知情的情况下点击或访问这个链接时,浏览器会附带受害者已登录网站...
CSRF攻击防御,Web安全的第一防线
01-27
CSRF(跨站请求伪造)攻击...总之,CSRF攻击是一种严重的安全威胁,开发者应当采取多种防御措施,如Token验证、Referer检查等,确保Web应用程序的安全性。同时,定期进行安全审计和漏洞扫描是预防CSRF攻击的关键步骤。
Flask模拟实现CSRF攻击的方法
09-20
5. 如果 WebA 没有对这类敏感操作进行 CSRF 防御攻击者的请求就会被服务器处理,从而导致用户账户受到影响。 ## 防止 CSRF 攻击的措施 防止 CSRF 攻击通常采用以下方法: 1. **验证 Token**:服务器在生成页面...
SSRF(服务端请求伪造)原理/防御
热门推荐
wangyuxiang946的博客
07-16 1万+
攻击者伪造服务器获取资源的请求,通过服务器攻击内部系统
php csrf防御怎么做,CSRF防御实例(PHP) | CN-SEC 中文网
weixin_31754209的博客
03-23 123
摘要CSRF防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。CSRF防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。1.服务端进行CSRF防御服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。(1).Cookie Hashing(所有表单...
服务器如何防御攻击,有哪些方法
qq392465929的博客
06-25 666
游戏服务器不管是个人的还是企业的,被攻击都是,很常见的,在所难免的。特别是游戏新上线时,都要承受的住哪些外来压力,玩家突然猛增,被攻击等等。如果承受不住可能会直接宣布游戏倒闭。这里我们一起来说说游戏服务器为什么老被攻击的一些原因和怎么防御游戏服务器。...
如何做好服务器防御工作
hk7981的博客
06-22 438
一、正常情况下1.隐藏好服务器的IP,如果是网站则为网站配置CDN服务,这些都是基本的操作,也是大部分网站站长的共识。因为进攻者往往需要一个入口,才可以真正地对服务器造成影响。2.准备好备用的服务器,这里的备用服务器主要用于在被进攻宕机后迅速恢复访问,但是大部分的网站站长并没有足够的资金购买高防服务器和CDN服务,所以这里建议是选择一些高延迟但是高防御的欧洲地区服务器,将数据自动备份到其中,当主节点被进攻的时候,备用的服务器可以立即启用,虽然访问速度降低,但是不会对使用者造成太大的影响。3.使用安全设备,或
CSRF攻击防御(写的超详细)
weixin_49071539的博客
12-15 2205
当小绿登录正常网站服务器(VULNERABLE WEBSERVER),进行某些操作,操作完成之后没有退出,继续访问了另一个存在病毒的网站(MALUCIOUS WEBSUITE); 因为正常网站存在CSRF漏洞,正常网站的WEB服务器验证不够,当前网站的验证方式只是验证的用户的session存在,那么他就是一个已经登录的状态,但是没有办法保证某一次请求就是当前用户触发的。 在现在的一些app或者是网页中,在交易时会输入一个短信验证码,但是有一些网站并不是属于金额交易的,所以就并没有做这些设置,那如何组织这种.
CSRF漏洞利用工具 -- CSRFTester
weixin_41489908的博客
01-03 1980
烦恼大多来源于不够狠心,你处处顾忌别人,可谁有真正在意过你,其实,就是好的不够纯粹,坏的不够彻底,所以你才这么痛苦。。。 今天给大家介绍一款xss漏洞利用工具:CSRFTester 一、环境:win7 二、用法 1、设置浏览器代理服务器:127.0.0.1:8008 2、运行软件,点击start 3、在页面输入要提交的数值,点击change 4、查看CSRFTester 5、修改提交的数据...
网络攻击——CSRF攻击
PUIWAH的博客
03-24 1308
CSRF攻击 CSRF全称是跨站请求伪造(cross site request forgery),CSRF伪装受信任用户,向第三方平台发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。 一个典型的CSRF攻击有着如下的流程: 受害者登录 a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了 b.com。 b.com 向 a.com ...
CSRF攻击介绍、模拟、防范
非完美世界
03-21 2167
CSRF攻击Web安全是我们不可忽视的部分,所以了解一下基础的攻击手段的实现和防范,是非常有必要的。 CSRF是什么? 模拟实现CSRF攻击 防范CSRF攻击 Token的实现 什么是CSRF攻击CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意
xss攻击之盗取账号
zhangzhangdan的博客
07-17 5111
XSS攻击:跨站脚本攻击(Cross Site Scripting),是一种用javascript脚本写的攻击方式 一般测试,我们会在运行的一段代码中写入一段javascript代码,在程序运行的的时候它会显示出来: &lt;?php public function index() { $str = "&lt;sctipt&gt;alert('aa')&lt;script&gt;"; ...
理解CSRF攻击:概念、关键点与实战解析
"该文档是关于CSRF攻击的总结,主要涵盖了CSRF的基本概念、攻击原理、关键点、目标以及实战中的场景复现,适用于学习和理解网络...通过理解和应用这些防御机制,可以有效地降低CSRF攻击的风险,保护Web应用程序的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值