渗透之路基础 -- 跨站伪造请求CSRF

最新推荐文章于 2024-09-21 21:25:21 发布
最新推荐文章于 2024-09-21 21:25:21 发布
阅读量136 收藏
点赞数
分类专栏: 技术篇 文章标签: csrf web安全 逻辑漏洞 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36628940/article/details/101000862
版权

漏洞产生原因及原理

跨站请求伪造是指攻击者可以在第三方站点制造HTTP请求并以用户在目标站点的登录态发送到目标站点,而目标站点未校验请求来源使第三方成功伪造请求。

XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。

与XSS区别

​ XSS是可以获取到用户的cookie,不需要伪造,是用户直接触发,它可以完成网站上脚本的任意功能

​ CSRF不知道cookie的详细信息,是利用cookie伪造成用户来向服务器发送请求

漏洞危害

欺骗用户的浏览器发送HTTP请求给目标站点

通过IMG标签会触发一个GET请求,可以利用它来实现CSRF攻击

漏洞防御

1 使用token

2 限制refer

3 使用验证码技术

漏洞案例演示

以DVWA演示一个案例

DVWA修改密码处存在CSRF,只需要通过点击点击链接,受害者的密码就会被修改

密码就在url请求中

这就是简单的 CSRF跨站请求伪造

r0ckysec
关注
专栏目录
web渗透--18--跨站请求伪造CSRF
武天旭的博客
09-12 1829
1、漏洞描述 跨站请求伪造攻击,Cross-Site Request Forgery(CSRF),攻击者在用户浏览网页时,利用页面元素(例如img的src),强迫受害者的浏览器向Web应用服务器发送一个改变用户信息的HTTP请求(恶意用户没有操作权限,于是构造操作链接让有权限的用户去执行,以此实现期望操作)。 CSRF攻击可以从站外和站内发起。 从站...
pikachu-CSRF跨站请求伪造
weixin_50342860的博客
05-23 390
CSRF漏洞概述 在CSRF攻击场景中攻击者会伪造一个请求 (这个请求一般是一 个链接) 然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击也就完成了。 所以CSRF攻击也被称为" one click"攻击CSRF(get) 正常情况下,我们登录(权限)后,编辑好修改的内容,点击提交(修改请求),即可完成个人信息的修改 修改个人信息用burp抓包查看是否存在CSRF 将抓到的包发送-------Engagement tools---------Generate CSRF PoC 点击C
跨站请求伪造(CSRF)漏洞详解
最新发布
CoffeMilk的博客
09-21 1308
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求攻击方式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击
基础漏洞——CSRF跨站请求伪造)漏洞
2301_79096184的博客
09-15 306
跨站请求伪造又被为one-clickattack,通常缩写为CSRF或者XSRF是一种挟持用户在当前已经登录的web应用程序上执行非本意的操作的攻击方式。
跨站请求伪造(CSRF)漏洞
qq_47848569的博客
05-31 581
CSRF的本质就是在不知情的情况下执行请求利用cookie在浏览器不过期的操作,使攻击者构造恶意的payload来修改用户的信息等pikachu靶场。
web基础漏洞之CSRF跨站请求伪造漏洞)
m0_62274649的博客
10-04 1330
一些自己的小总结,有待完善
跨站请求伪造CSRF漏洞
s40d1's Blog
07-08 705
0x00 CSRF原理概要 1. 概念 CSRF(Cross-Site Request Forgery)是指跨站请求伪造,通常缩写为CSRF或者是XSRF。 也可以这么理解CSRF攻击攻击者盗用了你的身份(即用了你的COOKIE),以你的名义进行某些非法操作。CSRF能够修改你的密码,使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产等。 2. 必要条件 要完成一次CSRF攻击,受害者必须依次完成两个步骤: 登录受信任网站A,并在本地生成Cookie 在不登出A的情况下,访问恶意网站B 必须是
CSRF-01】跨站请求伪造漏洞基础原理及攻防
m0_64378913的博客
07-01 1757
定义:CSRF(Cross-site request forgery,跨站请求伪造) 也被称为One Click Attack 或者 Session Riding ,通常缩写为 CSRF或者XSRF,是一种欺骗受害者提交恶意请求攻击。它继承了受害者的身份和特权,代表受害者执行非本意、恶意的操作。它强制终端用户在当前对其进行身份验证后的Web应用程序上执行非本意的操作。发生地点:Web应用程序上,不是系统也不是组件。 发生时间:在终端用户在当前对其进行身份验证后。 发生形式:“强制”执行用户非本意的操作,此
[zkaq靶场]CSRF--dedecms跨站请求伪造
wwxxee
05-09 877
CSRF 靶场环境 首页: 本地测试 dedecms。 在本地搭建dedecms测试环境。 后台提供的新建文件功能。 第一步、测试新建文件功能: 点击新建文件: 在此处新建一个一句话木马。 可以新建php文件。 第二步、生成CSRF Poc 这次我们新建一个2.php文件,文件内容依然是与上面一样的一句话木马。 然后抓包该请求。 将该请求生成CSRF Poc。 保存成2.html。 然后在同一个浏览器的新标签页下打开2.html 点击submit。 2.php文件新建成功。 这时,我们就可以认
DVWA--CSRF跨站请求伪造
weixin_50342860的博客
08-19 196
目录风险lowmediumhigh修复CSRF与XSS区别: 风险 利用用户的尚未失效的身份认证的信息(cookie、会话等)构造恶意链接,骗用户点击,在用户不知情的情况下利用其的身份完成一些恶意操作(转账、修改密码等)。 low 查看代码可以看出这里只是对用户输入的两个密码进行判断,看是否相等。不相等就提示密码不匹配。 尝试密码不一致时,查看url的变化 尝试密码一致时,查看url的变化 这里我们伪造一个恶意链接(下面的ip要改成自己的), 当用户点击,密码也就修改成功 现实生活中,使用工具可将这个
跨站请求伪造漏洞(CSRF
qq_44484541的博客
04-05 1352
CSRF(Cross-Site Request Forgery),也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击
CSRF攻击与防御
Java/Android/IOS/前端/云计算
10-22 2892
发布时间:2012年08月28日 分享 推荐打印收藏 CSRFWeb应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
CSRF漏洞详解(跨站请求伪造
m0_52293697的博客
11-21 652
CSRF漏洞原理 跨站请求伪造 DVWA靶场 挖洞思路
Web漏洞之CSRF(跨站请求伪造漏洞)详解
weixin_46669844的博客
02-04 2735
跨站请求伪造,冒用Cookie中的信息,发起请求攻击CSRF(Cross-site request forgery)跨站请求伪造攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
flask中的csrf防御机制
FreeSpider
07-17 2091
csrf概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
网络安全CSRF漏洞—CSRF基础漏洞防御
goldfish8848的博客
09-01 1109
跨站点的请求请求伪造的(假装可信)Cross-Site Request Forgery,跨站请求伪造。它是一种挟持用户在当前已登陆的Web应用程序上执行非本意的操作的攻击方法。同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据会被拒绝同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。
CSRF(Cross-site request forgery 跨站请求伪造)
myfuturein的专栏
10-08 7048
CSRF(Cross-site request forgery 跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CS
CSRFTester:详述跨站请求伪造漏洞的测试工具
4. **分析结果**:如果服务器响应了伪造请求,那么存在CSRF风险,需要进一步分析和报告。 CSRF防护策略: 1. **令牌验证**:每个敏感操作都应包含一个随机生成的一次性令牌,服务器端验证这个令牌来确保请求的真实...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值