跨站请求伪造(CSRF)进阶

已于 2024-07-30 08:40:49 修改
阅读量5 收藏
点赞数
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: csrf 前端
于 2024-07-30 07:55:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/140786254
版权

1、CSRF 简介

CSRF的全名是Cross Site Request Forgery,翻译成中文就是跨站点请求伪造。

它是一种常见的Web攻击,但很多开发者对它很陌生。CSRF也是Web安全中最容易被忽略的一种攻击方式,甚至很多安全工程师都不太理解它的利用条件与危害,因此不予重视。但CSRF在某些时候却能够产生强大的破坏性。

我们先看一个XSS Payload 例子:

登录Sohu博客后,只需要请求这个URL,就能够把编号为“156713012”的博客文章删除。

这个URL同时还存在CSRF漏洞。我们将尝试利用CSRF漏洞,删除编号为“156714243”的博客文章。这篇文章的标题是“test1”。

搜狐博客个人管理界面:

攻击者首先在自己的域构造一个页面:

其内容为:

使用了一个<im

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
网络安全学习第三课——CSRF请求伪造
p36273的博客
07-01 1584
漏洞风险存在;伪装数据操作请求的恶意链接或者页面;诱使用户主动访问或登录恶意链接,触发非法操作;
【Web安全】请求伪造CSRF
RexHa的博客
10-14 1106
大多数CSRF攻击发起时,使用的HTML标签都是、、等带src属性的标签,这类标签只能发起一次Get请求而不能发起Post请求,而对于很多网的应用来说,一些重要操作未严格区分GET和POST,攻击者可以使用GET来请求表单的提交地址。黑客伪造一个假的页面,当用户访问该页面后,黑客就会利用你的身份向第三方点发送一个恶意请求,从而达到某些目的,例如以你的名义发送邮件、发消息,将你卡里的钱转走,删除某篇博客文章等等。如果用户提交了表单,则应重新生成一个Token。
java 伪造请求_Web安全教程之CSRF(请求伪造)
weixin_33791488的博客
03-07 222
前端面试过程中遇到的另一个最多的问题就是web安全了,之前博客有分享过XSS攻击的内容,这次聊聊CSRF攻击。CSRF是一种常见的攻击,但是也是web安全中最容易被忽略的一种攻击方式。什么是CSRF(请求伪造)根据字面意思,大概能猜到,CSRF攻击就是攻击者伪造了用户的请求,在用户不知道的情况下,以用户的名义向服务器发送恶意请求。常见的场景是,用户首先登陆一个正常(下面称为被攻击网)的网...
【红宝书笔记】请求伪造CSRF
Code_Aape的博客
07-15 240
CSRF全名Cross SIte Request Forgery,请求伪造
pikachu 之CSRF请求伪造)get和post型
LIU6636LIU的博客
07-23 652
pikachu 之CSRF请求伪造)get和post型
ASP.NET Web Api 使用 EF 6,DateTime 字段如何取数据库服务器当前时间
yangshuquan的专栏
07-24 815
在做数据库设计时,为了方便行数据追踪,通常会有几个字段是每个表都有的,比如创建时间、创建人、更新时间、更新人等,这些时间字段一般存储的是数据库服务器的时间,EF 是操作整个数据表对象,所以需要寻找方法来实现这个目的。本文分享 DB First 和 Code First 两种模式的 EF 中 DateTime 字段如何存储数据库服务器当前时间的方法。
在Vue程序中,如何检测用户的登录状态并跳转到对应页面
exlink2012的专栏
07-25 417
通过以上步骤,你可以在Vue应用程序中检测用户的登录状态,并在用户尝试访问受保护页面时跳转到登录页面。同时,在用户登录和登出后,你可以根据需要跳转到相应的页面。
Hutool SoapClient 调用使用@webservice 发布的webService接口,参数传递为空
FangX_u的博客
07-24 592
采用工具类Hutool SoapClient调用@webservice 发布的webService接口时,参数传递不到webService,可以借助SoapUI工具辅助查看。
Windows10+vs 2017中创建WEB API教程
Explinks的博客
07-24 1002
本文将介绍如何在Windows10+vs 2017中创建web Api的教程。目前本教程当中的方法在Win10 + VS2017(MVC5)win server2016+vs2017,vs2013 vs2019当中测试通过。
vue单页面 全屏 使用 screenfull 实现全屏(左侧菜单栏隐藏)
m0_71835253的博客
07-25 549
vue单页面 全屏 使用 screenfull 实现全屏(左侧菜单栏隐藏)_vue在打开一个界面的时候隐藏侧边栏-CSDN博客
苍穹外卖浏览器前端界面修改
程序员象漂亮的博客
07-25 232
客户原始方案是期望做一个Spring Boot + Vue的饿了么系统,但时间上太仓促,所以建议选择开源的苍穹外码目作为作业提交。客户接受了建议的方案后,期望对前端页面提出了一些个性化的定制修改。
通过不同方式在 Vue 3 中传递路由参数
点点滴滴
07-25 607
通过path参数传递:在路由路径中定义动态参数,并使用将其作为 props 传递。通过query参数传递:在路由跳转时通过query参数传递数据,并在组件中使用useRoute获取。通过props选项传递:在路由配置中使用props选项传递静态或动态参数。
electron 主程和渲染
qq_21087199的博客
07-29 85
虽然最近一年前端大环境不好,但是大家还是要加油鸭!,努力总不会错,千军万马过独木桥,希望大家都是闯过去那一个。入正题。
基于上云api前端开发经验教训(loading...)
IIIIIAN
07-26 399
对于上云api开发学习过程中的错误教训积累总结
我们的前端开发逆天了!1 小时搞定了新网,还跟我说 “不要钱”
努力做最接地气的编程干货分享,感谢关注
07-29 603
本文将带你了解一个新的 Web 框架 **Astro**,并手把手带你使用 Astro 搭建一个属于自己的点,用过的都说真香!
前端 axios 封装
最新发布
清云
07-29 302
前端 axios 封装
前端学习1——自学习梳理
qq_63125992的博客
07-24 364
【代码】前端学习1——自学习梳理。
前端开发技术之HTML/CSS
m0_67484548的博客
07-29 510
5. <figure> 和 <figcaption>:<figure> 用于媒体内容的分组,<figcaption> 用于定义 <figure>1. <menu> 和 <menuitem>:定义菜单列表(<menu>)和菜单项(<menuitem>)(HTML5。1. <h1> to <h6>:定义HTML标题,<h1> 表示最高的标题级别,<h6> 表示最低的标题级别。3. <figure> 和 <figcaption>:定义媒体内容的分组,以及媒体的标题或说明。
springboot高级
09-08
对于Spring Boot的高级,以下是一些建议和主题: 1. 微服务架构:学习如何将应用程序拆分成多个小型、可独立部署的微服务,并使用Spring Cloud、Netflix OSS等技术栈来实现服务发现、负载均衡、断路器等功能。 2. 高性能优化:深入了解Spring Boot的底层原理,包括自动配置、Bean的生命周期、依赖注入等,并学习如何通过调整配置、使用缓存、异步处理等技术来提高应用程序的性能。 3. 安全性和认证授权:掌握Spring Security框架,学习如何使用它来实现身份验证、权限控制、请求伪造CSRF)防护等功能。 4. 数据访问和持久化:学习使用Spring Data JPA、Hibernate或MyBatis等技术来简化数据访问层的开发,了解如何优化数据库查询、实现数据缓存等。 5. 高可用和容错:学习如何使用分布式缓存、消息队列等技术来实现高可用性和容错性,以确保应用程序在面对故障和负载增加时仍然能够正常工作。 6. 监控和日志:学习如何使用Spring Boot Actuator来监控应用程序的性能指标、健康状况等,使用ELK(Elasticsearch、Logstash和Kibana)等工具来集中管理和分析日志。 7. 部署和扩展:了解如何使用Docker容器化应用程序,并学习如何使用容器编排工具(如Kubernetes)来部署、扩展和管理Spring Boot应用程序。 除了以上主题,还可以深入学习Spring Boot的其他特性和相关技术,如Spring Boot Starter、Actuator、WebFlux等,以及Spring Cloud全家桶中的各个组件。不断学习并实践这些知识,将能够更好地开发和部署高性能、可靠的Spring Boot应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值