网络安全初探-CSRF攻击方式&&防御手段

最新推荐文章于 2024-06-14 16:51:07 发布
最新推荐文章于 2024-06-14 16:51:07 发布
阅读量1.2k 收藏 2
点赞数 4
分类专栏: 网络安全 文章标签: 网络安全 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39903567/article/details/117037413
版权

文章目录

一、CSRF

CSRF(Cross-site request
forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。

流程:

  1. 受害者登录a.com,并保留了登录凭证(Cookie)。
  2. 攻击者引诱受害者访问了b.com。
  3. b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
  4. a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
  5. a.com以受害者的名义执行了act=xx。
  6. 攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让a.com执行了自己定义的操作。

二、常见的攻击类型

1.GET类型的CSRF

GET类型的CSRF利用非常简单,只需要一个HTTP请求,一般会这样利用:

 ![](https://awps-assets.meituan.net/mit-x/blog-images-bundle-2018b/ff0cdbee.example/withdraw?amount=10000&for=hacker)

在受害者访问含有这个img的页面后,浏览器会自动向http://bank.example/withdraw?account=xiaoming&amount=10000&for=hacker发出一次HTTP请求。bank.example就会收到包含受害者登录信息的一次跨域请求。

2.POST类型的CSRF

这种类型的CSRF利用起来通常使用的是一个自动提交的表单,如:

<form action="http://bank.example/withdraw" method=PO
最低0.47元/天 解锁文章
LYFlied
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
【第九周】通过csrf(get)进行地址修改实验演示、token详解及常见防范措施、远程命令、代码执行漏洞原理及案例演示 等等
weixin_44722125的博客
05-05 537
通过csrf(get)进行地址修改实验演示 先登陆一下 修改地址 submit即可修改 如何确认此处是否存在CSRF漏洞 首先这是一个敏感信息修改,其次看下burp数据包 GET /pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=12345678922&add=shenyang&email=...
CSRF漏洞原理攻击与防御(非常细)
m0_61869253的博客
10-12 3341
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
网络安全CSRF漏洞原理和实战,以及CSRF漏洞防护方法
Scalzdp的专栏
11-08 2660
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
CSRF(跨站请求伪造)漏洞 (带靶场演示+漏洞挖掘)
最新发布
wudideaqing的博客
06-14 1413
链接点击。
top10之CSRF,原理,攻击方式、预防机制
m0_59856804的博客
12-12 805
top10之CSRF,原理,攻击方式、预防机制
CSRF详解及其利用方式(get方式)
读书 买花 长大
11-28 1840
CSRF-csrf
网络安全 kali Web安全之CSRF攻击
xueshenlaila的博客
03-16 874
CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。
安全性测试--CSRF攻击
02-26
CSRF(Cross-siterequestforgery),...CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大**和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、M
asgi-csrf:ASGI中间件,用于防御CSRF攻击
05-26
ASGI中间件,用于防御CSRF攻击 安装 pip install asgi-csrf 背景 请参阅及其。 该中间件实现了,该中设置了cookie,然后将其与csrftoken隐藏表单字段或x-csrftoken HTTP标头进行比较。 用法 像这样装饰您的ASGI...
10-CSRF的攻击与防御1
08-03
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,它利用了浏览器自动发送Cookie的特性,使攻击者能够以受害者的身份执行非预期的操作。在讨论CSRF攻击时,我们需要理解其基本原理、常见场景、...
CSRF攻击与防御,Web安全的第一防线
01-27
这种攻击方式通常涉及两个网站:一个受信任的网站(Web A)和一个恶意网站(Web B)。当用户已登录Web A后访问Web B,恶意网站可以利用用户在Web A的session信息,构造恶意请求发送到Web A,导致Web A执行攻击者预设...
CSRF跨站请求伪造的GET情况和POST情况攻击和防御详解
Zeker62的博客
08-14 4322
CSRF 英文名:cross-site request forgery 叫做跨站请求伪造 CSRF不是很流行,但是具有很高的危险性,相比于XSS更加难以防范。 CSRF攻击效果:攻击者盗用身份,以被害者的姓名执行某些非法操作。比如使用账户发邮件、获取敏感信息,盗取银行账户。 CSRF攻击原理 当打开某个网站的时候,可以在网站上 进行一些操作,比如发邮件发消息 当结束会话的时候,这个网站可能会让你重新登录,或者提示身份过期,这是这个web在防范CSRF攻击的手段CSRF攻击是建立在会话之上的,比如.
2021-03-31
m0_55876880的博客
03-31 213
什么是 CSRF 攻击?如何防范 CSRF 攻击? CSRF 攻击指的是跨站请求伪造攻击,攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被 攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态,绕过后台的用户验证,冒充用户向服务器执行一些操作。 CSRF 攻击的本质是利用了 cookie 会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充。 一般的 CSRF 攻击类有三种: 第一种是 GET 类CSRF 攻击,比如在网站中的一个 img 标签里构建一个
CSRF漏洞原理及攻击方式 防护方法有哪些
白帽黑客鹏哥的博客
12-11 1380
CSRF是一种攻击方式,它利用用户已经登录的浏览器发起恶意请求。攻击者诱导用户点击链接或访问恶意网站,利用用户当前的登录状态,无意中发送请求到受信任的网站。
【Web 安全】CSRF 攻击详解
热门推荐
weixin_44211968的博客
05-11 1万+
文章目录一、CSRF 简介二、CSRF 原理三、CSRF 的危害四、CSRF 的攻击类五、CSRF防御1. 验证 HTTP Referer 字段2. 在请求地址中添加 token 并验证3. 在 HTTP 头中自定义属性并验证参考链接 一、CSRF 简介 CSRF(Cross Site Request Forgery,跨站域请求伪造),也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF 。 尽管听起来像跨站脚本(XSS),但它与X
网络安全CSRF攻击详解
技术研究中心
10-17 438
目录 什么是CSRF攻击 CSRF攻击的流程 常见的CSRF攻击类 CSRF漏洞测试 预防CSRF攻击 参考 什么是CSRF攻击 CSRF(Cross-Site Request Forgery)的全称是“跨站请求伪造”,也被称为“One Click Attack”或者“Session Riding”,通常缩写为CSRF或者...
CSRF 攻击的应对之道
java旅程
09-06 482
转载自:http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 **CSRF 攻击实例**
浅谈CSRF攻击方式
秋香的博客
08-15 1234
一.CSRF是什么?  CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CSRF可以做什么?  你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,
网络安全面试常见问题总结:SQL注入、XSS攻击、CSRF攻击防范
CSRF攻击(跨站点请求伪造)是一种攻击方式,攻击者通过跨站请求,以合法的用户的身份进行非法操作。防范CSRF攻击的方法有: * 使用安全框架,例如SpringSecurity * 使用token机制,在HTTP请求中进行token验证 * ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值