CSRF(跨站请求伪造)

最新推荐文章于 2025-09-26 16:25:51 发布
最新推荐文章于 2025-09-26 16:25:51 发布
阅读量2.3w 收藏 47
点赞数 21
CC 4.0 BY-SA版权
分类专栏: Web漏洞 文章标签: php http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36119192/article/details/82820115
本文详细介绍了CSRF(跨站请求伪造)攻击的分类、原理、实例、防御方法以及漏洞挖掘。针对GET和POST类型的CSRF攻击,文中列举了其工作方式,展示了攻击者如何利用用户的Cookie信息执行恶意操作。防御措施包括验证HTTP Referer字段、使用Anti-CSRF token和自定义HTTP头属性。此外,还提到了利用BurpSuite生成CSRF攻击POC的方法,以及如何挖掘CSRF漏洞。

目录

CSRF分类

GET型:

POST型:

CSRF攻击原理及过程:

CSRF攻击实例:

CSRF攻击的防御:

(1)验证 HTTP Referer 字段        

(2)在请求地址中添加 token 并验证(Anti-CSRF token)        

(3)在 HTTP 头中自定义属性并验证        

CSRF漏洞的挖掘

使用BurpSuite快速生成CSRF POC

关于Cookie和Session,传送门——> Cookie和Session的区别

CSRF分类

CSRF(Cross-Site Request Forgery),跟XSS漏洞攻击一样,存在巨大的危害性。

你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等

GET型:

如果一个网站某个地方的功能,比如用户修改邮箱是通过GET请求进行修改的。如:/user.php?id=1&email=123@163.com  ,这个链接的意思是用户id=1将邮箱修改为123@163.com。 当我们把这个链接修改为 /user.php?id=1&email=abc@163.com ,然后通过各种手段发送给被攻击者,诱使被攻击者

了解本专栏 订阅专栏 解锁全文 超级会员免费看
CSRF 跨站请求伪造
m0_69043895的博客
04-19 1410
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
【项目实战】Web端常见的高风险漏洞与解决方法(CSRF跨站请求伪造 攻击)
本本本添哥
11-25 1410
CSRF(Cross-site request forgery 跨站请求伪造
CSRF跨站请求伪造
m0_73170217的博客
02-02 658
csrf漏洞的产生原理及危害、利用方法和防御手段
【web安全】——CSRF跨站请求伪造
wxh的博客
10-05 1578
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)从零基础入门到精通,收藏这一篇就够了!
ewii12567的博客
09-26 1058
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
跨站请求伪造——CSRF
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
08-18 2430
csrf,不需要知道别人的cookies,伪装成别人 xss,要先知道别人的cookies,伪装成别人
CSRF跨站请求伪造
俺当日记写
07-14 271
CSRF 漏洞(跨站请求伪造):漏洞是由于未校验请求来源,导致攻击者可在第三方站点发起 HTTP 请求,并以受害者的目标网站登录态(cookie、session 等)请求,从而执行一些敏感的业务功能操作1.不攻击网站服务器 2.冒充用户在信任网站工作 3.攻击建立在浏览器与web服务器的会话中网站服务端没有对request做严格过滤引起1.会造成用户密码重置 2.用户伪造1.get型csrf 2.post型csrf代码: 当访问这个页面时 及发送了一次http请求 伪造URL请求利用代码 实现网页自动提交
CSRF跨站请求伪造攻击
qq_68163788的博客
02-05 2348
CSRF(Cross-Site Request Forgery)是一种网络安全攻击,攻击者利用用户已经登录的身份,在用户不知情的情况下发送恶意请求,以执行某些操作或获取用户的敏感信息。攻击者通常会诱使用户访问包含恶意请求的页面,或者通过其他方式注入恶意代码,以触发CSRF攻击。 CSRF攻击通常利用用户在其他网站上的身份验证信息,因此攻击者可以利用这些信息来执行恶意操作,比如更改用户密码、转账、发送消息等。由于CSRF攻击利用了用户的信任和已登录的身份,因此很难被用户察觉。
csrf跨站请求伪造详解
m0_69962105的博客
11-24 1393
钓鱼网站搭建一个类似正规网站的页面用户点击网站链接,给某个用户打钱打钱的操作确确实实提交给了中国银行的系统,用户的钱也确实减少但是唯一不同的是,账户打钱的账户不是用户想要打钱的目标账户,变成了其他用户内部本质在钓鱼网站的页面针对对方账户,只给用户提供一个没有name属性的普通input框然后在内部隐藏一个已经写好带有name属性的input框如何避免上面的问题csrf跨域请求伪造校验网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识。
csrf跨站请求伪造测试和处理(简单示例)
最新发布
10-18
CSRF跨站请求伪造是一种攻击者利用受害者已认证的身份,在其不知情的情况下,诱使受害者向一个含有恶意代码的网页提交请求,进而执行非预期的操作。在网络安全领域,CSRF是一种常见的攻击手段,尤其对那些依赖用户...
[Web安全 网络安全]-CSRF跨站请求伪造
刘鑫磊
09-21 1857
CSRF跨站请求伪造
CSRF(Cross-site request forgery)跨站请求伪造
weixin_59496235的博客
03-26 1118
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。我们通常是给受害者发送一个链接,而在正常的情况下人们通常不会点击一个很长的、看起来就不正常的链接,这个就需要利用到社会工程学,学会利用人们的心理来达到我们的目的,诱使他们点击我们构造的链接,这种情况下我们需要把长的链接转化成一个短的链接,而网上正好可以找到很多这种在线的工具。
web渗透:CSRF漏洞(跨站请求伪造
weixin_68416970的博客
08-30 2074
在正常情况下,当用户在网站A上执行操作时,如点击链接或提交表单,浏览器会向服务器发送一个HTTP请求,并在请求头中包含一个Referer字段,该字段的值是发起请求的网页地址,即网站A的地址。CSRF攻击通常发生在用户已经登录了某个网站的情况下,攻击者在用户不知情的情况下利用用户的身份信息发送恶意请求,导致服务器误以为是用户发送的合法请求CSRF攻击的关键在于攻击者无法窃取用户的凭证(如Cookie),但可以“劫持”用户的浏览器,以用户的身份发送未授权的请求。通过设置SameSite属性为。
浅谈跨站请求伪造(CSRF)
A_dmin的博客
09-14 1977
浅谈跨站请求伪造(CSRF)   这里简单的记录一下CSRF漏洞~~ 什么是CSRF?   CSRF(Cross-Site Request Forgery,跨站伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送...
CSRF详解(跨站请求伪造)
qq_70584783的博客
05-28 1075
工作原理:当用户在不知情的情况下点击了一个恶意链接或者访问了包含攻击代码的页面时,攻击代码就会以用户的身份向服务器发送请求,从而在用户的权限下执行非法操作,如转账、修改密码等。概念解释:CSRF,即跨站请求伪造,是一种攻击者利用用户在网站上的身份认证信息,通常是未失效的Cookie或会话,诱使用户发起非预期的请求到目标网站的攻击方式。按请求类型分类:CSRF攻击可以按照HTTP请求的类型进行分类,常见的有GET请求和POST请求CSRF攻击。技术进步:随着技术的发展,新的防御技术和攻击手段将不断出现。
CSRF 跨站请求伪造(非常详细)零基础入门到精通,收藏这篇就够了
wly55690的博客
12-06 1052
之前面试经常被问到 CSRF跨站请求伪造大概流程比较简单, 大概就是用户登录了A页面,存下来登录凭证(cookie), 攻击者有诱导受害者打开了B页面, B页面中正好像A发送了一个跨域请求,并把cookie进行了携带, 欺骗浏览器以为是用户的行为,进而达到执行危险行为的目的,完成攻击上面就是面试时,我们通常的回答, 但是到底是不是真是这样呢?难道这么容易伪造吗?于是我就打算试一下能不能实现。
干货!!学习CSRF跨站请求伪造,看这一篇就够了
qkh1234567的博客
05-09 1095
CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF伪造成合法用户发起请求
CSRF(跨站请求伪造)详解
Y22Lee的博客
04-10 2116
CSRF全称Cross-Site Request Forgery,也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。当发现网站存在CSRF漏洞时,攻击者会利用网站源码,构建一个存有恶意请求的网站或者是链接,引诱受害者访问,那么当受害者在访问攻击者伪造的网站,同时,又在访问攻击者攻击的目标网站且没有关闭会话,那么攻击者就成功完成了CSRF攻击!攻击者可以发送请求包,比如:修改邮箱的,上传文件的等等。
大数据网络安全——跨站请求伪造
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
11-10 695
本实验以简单PHP源码调用关键系统函数,通过WEB执行任意系统命令,有一定的DOS命令基础做起来更轻松。在这个实验中,通过CSRF漏洞在管理员不知情的情况下,诱使管理员点击你伪造好的连接,只要能通过这种方法修改成功密码即可。当CSRF针对普通用户发动攻击时,将对终端用户的数据和操作指令构成严重的威胁;当受攻击的终端用户具有管理员帐户的时候,CSRF攻击将危及整个Web应用程序。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢公子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值