CSRF跨站请求伪造

最新推荐文章于 2022-03-07 16:26:31 发布
最新推荐文章于 2022-03-07 16:26:31 发布
阅读量184 收藏 2
点赞数
分类专栏: Web 文章标签: CSRF跨站请求伪造
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40808154/article/details/98872997
版权

CSRF:即跨站请求伪造,Cross Site Request Forgery,指攻击者盗用登录用户的身份,以其名义发送恶意请求:包括发送消息,邮件,购买商品,虚拟货币转账。。。

CSRF攻击示意图:

 CSRF产生的三个条件:

1.至少有两个网站(因为是跨站)

2.其中一个网站上存在漏洞

3.在恶意攻击的网站上有一个伪造请求

防止CSRF攻击:

1.在客户端向后端服务器发送请求时,后端会向响应总的cookie中设置csrf_token的值

2.在Form表单中添加一个隐藏的字段,值也是csrf_token

3.在用户点击提交时,会带上这两个值向后台发送请求

4.后端接受到请求时:

         1.从cookie中取出csrf_token

          2.从表单数据中取出来隐藏的csrf_token的值

          3.进行对比

5.比较之后两值一样,代表是正常的请求,否则代表是不正常得到操作,不进行下一步操作。

在Flask项目中解决CSRF攻击:Flask-WTF扩展帮我们封装了一套完善的CSRF防护体系

1.首先设置应用程序中的secret_key:

app.secret_key='随机的字符串'

2.导入flask_wtf.csrf中的CSRFProtect类进行初始化,并关联app

from flask_wtf.csrf import CSRFProtect
#关联app
CSRFProtect(app)

3.在模板中设置csrf_token令牌,表单设置为隐藏

<form method="post" action="/">
    <input type="hidden" name="csrf_token" value="{ { csrf_token() } }" />
</form>

 

托尼stark
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF 跨站请求伪造的解决方法
Dai_yinian6的博客
06-27 397
CSRF包含请求体的请求都需要开启CSRFfrom flask_wtf.csrf import CSRFProtect ... app.config.from_object(Config) ... CSRFProtect(app) CSRFProtect只做验证工作,cookie中的 csrf_token 和表单中的 csrf_token 需要我们自己实现理清思路目前登录注册发起的 POST 请求...
CSRF(跨站请求伪造)原理与实践
V
08-05 399
CSRF原理与实践一、原理二、实践2.1 CSRF (get)与(post)2.2 CSRF结合XSS2.3 Token防止CSRF 一、原理 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也称为"one click...
csrf 跨站请求伪造
weixin_45605313的博客
04-14 182
原理: 利用目标用户的合法身份,以目标用户的名义执行某些非法操作。强制终端用户在当前对其进行身份认证后的web应用程序上执行非本意操作(伪造更改状态请求,利用社工诱骗用户执行hacker选择的操作) 防御手段 1.二次认证 2.HTTP referer 3.token 4.HTTP自定义头 利用 无防御:POC(get) Referer认证: 修改文件名绕过认证 token认证: 利用b...
浅谈跨站请求伪造(CSRF)
A_dmin的博客
09-14 1848
浅谈跨站请求伪造(CSRF)   这里简单的记录一下CSRF漏洞~~ 什么是CSRF?   CSRF(Cross-Site Request Forgery,跨站伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送...
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网站发起对受害者的合法网站的请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
CSRF-跨站请求伪造
yun_ld的博客
08-24 792
CSRF攻击全称为:Cross-site request forgery,直接翻译为:跨站请求伪造。直接看名称还是有点难以理解,容易跟XSS攻击搞混。在讲解如何防御之前,首先看看如何攻击,举个简单的攻击例子: 小明的悲惨遭遇 这一天,小明同学百无聊赖地刷着Gmail邮件。大部分都是没营养的通知、验证码、聊天记录之类。但有一封邮件引起了小明的注意: 甩卖比特币,一个只要998!! 聪...
CSRF(跨站请求伪造)
good good study
01-12 3432
目录 CSRF 原理及过程 概述 关键点 通过银行转账实验理解CSRF 防御 CSRF (Cross-Site Request Forgery) CSRF是一种欺骗受害者提交恶意请求的攻击,攻击者盗用你的身份,向服务器发送请求 原理及过程 小明用浏览器访问受信任网站A,并输入用户名及密码进行登录; 小明的用户信息验证通过后,网站A会返回一个cookie信息给浏览器。 小明没有退出浏览器前,用同一浏览器访问了假网站B B站收到请求后返回攻击性代码,要求访问..
跨站请求伪造CSRF
热门推荐
佳佳的博客
03-07 1万+
跨站请求伪造CSRF) 概念 CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作。 具体来讲,可以这样理解CSRF。攻击者借用用户的名义,向某一服务器发送恶意请求,对服务器来讲,这一请求是完全合法的,但攻击者确完成了一个恶意操...
CSRF 漏洞原理详解及防御方法
weixin_30248399的博客
08-09 2429
跨站请求伪造:攻击者可以劫持其他用户进行的一些请求,利用用户身份进行恶意操作。 例如:请求http://x.com/del.php?id=1 是一个删除ID为1的账号,但是只有管理员才可以操作,如果攻击者把这个页面嵌套到其他网站中<img src= “http://x.com/del.php?id=1”> 再把这个页面发送给管理员,只要管理员打开这个页面,同时浏览器也会利用当前登陆...
DVWA之CSRF(跨站请求伪造攻击)
谢公子的博客
10-01 1万+
目录 Low Middle High Impossible Low 源代码: &lt;?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; ...
详解CSRF跨站请求伪造
马儿不会飞
03-07 9349
CSRF攻击: CSRF跨站请求伪造(Cross—Site Request Forgery):大概可以理解为攻击者盗用了你的身份,以你的名义在恶意网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,甚至于购买商品、转账等。 例如:Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF攻击攻击原理及过程如下: 1.用户C打开浏览器,访问受信任网站A,输入用户名
DVWA系列(五)——使用Burpsuite进行CSRF跨站请求伪造
橘子女侠
05-05 4802
1. CSRF跨站请求伪造)简介 (1)CSRF CSRF(Cross—site request forgery),跨站请求伪造,是指利用受害者未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账,改密等)。 (2)CSRF与XSS的区别 ...
跨站请求伪造CSRF)解决方案
SmallTenMr的博客
09-20 4359
(1)验证HTTP Referer字段 根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求必须来自于同一个网站。 比如某银行的转账是通过用户访问http://bank.com/XX?XX=xx&amp;XX=xx页面完成,用户必须先登录bank.com,然后通过点击页面上的按钮来触发转账事件。当用户提交请求时,...
CSRF - 跨站请求伪造
weixin_46601374的博客
03-01 5656
什么是CSRF? CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 实说白了..
CSRF跨站请求伪造漏洞
最新发布
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值