CSRF跨站请求伪造漏洞修复

VIP文章 已于 2022-06-09 15:03:03 修改
阅读量2.9k 收藏 6
点赞数
分类专栏: Spring SpringBoot web漏洞 文章标签: csrf java 前端
于 2022-06-09 14:25:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38616723/article/details/125202235
版权

文章目录


提示:以下是本篇文章正文内容,下面案例可供参考

一、漏洞描述

跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。
经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。

二、解决建议

增加拦截器,判断referer是否合法,合法则放行。

二、解决方法

Springboot 配置文件增加配置

# 信息安全
security:
  #跨站点伪造请求配置
  csrf:
    #是否开启跨站点伪造请求过滤(开启:true 关闭:false)
    enable: true
    #不拦截的url
    excludes-url:
      - /
      - /login
      - /logout
      - /getLoginUrl
    #不拦截的域名
    excludes-domain:
      - localhost
      - 127.0.0.1

编写配置类

/**
 * @author wcs
 * @desccription: 系统安全配置类
 * @Date: 11:03 2022/2/17
 */
@Configuration
@ConfigurationProperties(prefix = "security")
public class SecurityConfig {
   

    private CsrfConfig csrf;

    private AccountConfig account;

    public CsrfConfig getCsrf() {
   
        return csrf;
    }

    public void setCsrf(CsrfConfig csrf) {
   
        this.csrf = csrf;
    }

    public AccountConfig getAccount() {
   
        return account;
    }

    public void setAccount(AccountConfig account) {
   
        this.account = account;
    }
}

import java.util.List;

/**
 * @author wcs
 * @desccription: 跨站点请求伪造
 * @Date: 11:05 2022/2/17
 */
public class CsrfConfig {
   

    /**
     * 是否启用
     */
    private boolean enable;

    public void setEnable(boolean enable) {
   
        this.enable = enable;
    }

    public boolean isEnable() {
   
        return enable;
    }

    /**
     * 忽略的URL
     */
    private List<String> excludesUrl;

    public void setExcludesUrl(List<
最低0.47元/天 解锁文章
java难民
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【ASP.NET编程知识】浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法.docx
05-21
【ASP.NET编程知识】浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法.docx
http referer 验证防御方法_技术干货 | CSRF攻击原理以及防御
weixin_39559333的博客
11-29 1693
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不...
CSRF安全漏洞修复
最新发布
Innocence_0的博客
02-02 557
本处判断只判断接口,对页面进行放行(判断是否为页面的依据是接口的controller和请求页面的controller的继承类不同,接口的集成的类是AbstractAPIController,在每个请求中增加referer字段,如果没有这个字段则说明是伪造请求。然后判断referer字段的域名和request的请求域名是否相同,如果不同则说明是伪造请求。页面的集成类是 AbstractController,这两个类是自己写的。除了这些还需要拦截器配置。
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修改测试的请求成功被网站服务器接受,则说明存在CSRF漏洞
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
漏洞修复-服务端请求伪造(SSRF)
路辉的博客
03-31 1722
点击上方名片关注我,为你带来更多踩坑案例- 什么是SSRF-SSRF(Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统,因为服务器请求天然可以穿越防火墙。漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做正...
CSRF漏洞的利用及修复
G3et的博客
02-13 1073
CSRF (Cross-Site Request Forgery) 漏洞是一种 Web 应用程序的安全漏洞,它允许攻击者在用户不知情的情况下执行非法操作。CSRF 攻击通过构造恶意请求来发送给受害者,从而实现对受害者帐户的控制。这些请求看起来就像是从用户自己的浏览器发出的,因此服务器会将它们作为正常请求处理。
漏洞篇(SSRF 服务器端请求伪造
m0_58001548的博客
04-19 715
SSRF(Server-Side Request Forgery:服务器端请求伪造)通过篡改 HTTP 请求中的资源地址发送给服务器,服务器没有校验请求的合法性,服务器解析用户传递过来的请求,处理之后返回给用户。例如:1. HTTP 请求:www.xuegod.cn/xxx.php?2. 服务器接收到请求之后获取图片3. 服务器获取到图片后将图片返回给用户。问题产生在第二步,服务器会向第三方站点发送请求并获取资源文件,如果网站对资源文件的地址没。
web安全第九天:服务器端请求伪造漏洞SSRF
cc777777777的博客
03-05 794
web安全第十天:服务器端请求伪造漏洞SSRF
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。在跨站请求伪造CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
Django CSRF跨站请求伪造防护过程解析
09-18
主要介绍了Django CSRF跨站请求伪造防护过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
网站渗透测试,看这篇就够了
Passerby过路人
10-23 1616
只部署安全产品,不定期进行安全服务,也会容易遭受攻击,这也是为什么越来越多的企业,在项目上线之前或者在做大活动之前都会邀请一些专业的安全厂商做安全渗透测试。 在给一家网站做安全渗透测试的之前,首先要获得客户的授权,授权书大概的意思就是同意某某不二越齿轮泵团队或者某某公司对该域名或某系统进行远程的渗透测试,加盖上企业的公章,开始进入渗透测试阶段。 今天在浏览关于渗透测试相关的介绍时,看到一篇文章,是关于网站渗透测试的相关介绍,觉得还不错,浅显易懂,拿来和大家分享,文章末尾会附带原文链接地址。 悬镜安全小编整理
安全扫描漏洞解决
球球的博客
05-24 7333
Appscan漏洞已解密的登录请求漏洞,可能会窃取诸如用户名和密码等经加密即发送了的用户登录信息; 整改方案: 1.对于用户名和密码等敏感信息,字段名匿名, 字段内容行非对公私钥加密处理; 2.采用post请求; 3.启用https协议; SQL注入漏洞 在系统部分url处存在该漏洞,该漏洞可能会查看、修改或删除数据库条目和表; 整改方案: 1.请求参数进行过滤一些非法的...
跨站请求伪造CSRF漏洞修复参考方法(IIS篇)
ilqgffvramusm2864的博客
08-20 3235
通过URL Rewrite设置Referer进行防止跨站请求伪造漏洞 URL Rewrite简述 URL Rewrite是微软针对IIS推出的一种对URL进行重写的扩展模块,目前支持用于IIS7及以上版本。该模块使IIS管理员能够创建强大的自定义规则,语法支持正则规则以及通配符规则过滤。它能够根据HTTP头和IIS服务器变量重写URL,可以避免一些参数名、ID等信息完全暴露在用户面前,从而提高...
服务端请求伪造(SSRF)及漏洞复现
weixin_58954236的博客
09-05 1719
服务器会根据用户提交的URL 发送一个HTTP 请求。使用用户指定的URL,Web 应用可以获取图片或者文件资源等。典型的例子是百度识图功能。如果没有对用户提交URL 和远端服务器所返回的信息做合适的验证或过滤,就有可能存在“请求伪造”的缺陷。“请求伪造”,顾名思义,攻击者伪造正常的请求,以达到攻击的目的。如果“请求伪造”发生在服务器端,那这个漏洞就叫做“服务器端请求伪造”,英文名字Server Side Request Forgery,简称SSRF。
CSRF跨站请求伪造漏洞修复方案
weixin_42728957的博客
04-16 6603
CSRF(全称Cross-site request forgery)即跨站请求伪造,是指利用受害者尚失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或包含攻击代码的页面,在受害者不知情的情况下以受害者的身份(身份认证所对应的信息)向服务器发送请求,从而完成非法操作(如转账、改密等)。由于发生CSRF攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信息被迫修改,更严重者引发蠕...
java springboot 通过Referer防止跨站请求伪造
qq_44154912的博客
10-21 3769
防止跨站请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
python中常见的csrf漏洞修复
07-28
在Python中,常见的修复CSRF跨站请求伪造漏洞的方法如下: 1. 随机令牌:为了防止CSRF攻击,可以在每个用户会话中生成一个随机的令牌,并将令牌添加到每个表单请求中作为隐藏字段或cookie。服务器在接收到请求后,会验证令牌的有效性,如果不匹配则拒绝请求。 2. Referer检查:在接收到请求时,服务器可以检查Referer头信息,该头信息显示了请求的来源页面。如果来源页面与当前请求的页面不匹配,则可以拒绝请求。但需要注意的是,Referer头信息有时会被浏览器禁用或篡改,因此不能完全依赖该方法来防止CSRF攻击。 3. Samesite Cookie属性:在Python的Web框架中,可以使用Samesite Cookie属性来解决CSRF问题。设置Cookie的Samesite属性为"Strict"或"Lax"可以限制Cookie只能在同一站点下才能发送,从而避免了跨站点的请求伪造。 4. 双重提交令牌:一种常用的方式是将令牌存储在服务器端的会话中,并将其作为隐藏字段和cookie的值发送给客户端。当表单提交时,服务器验证表单中的令牌与会话中的令牌是否匹配,如果匹配则接受请求,否则拒绝请求。 5. 使用验证码:在某些敏感操作(如支付、修改密码)中,可以要求用户输入验证码。这样即使存在CSRF攻击,攻击者也无法成功地执行敏感操作。 以上是一些常见的Python修复CSRF漏洞的方法,为了确保应用程序的安全,建议结合多种措施来提高防御的效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值