【笔记】Web安全:CSRF跨站请求伪造

最新推荐文章于 2022-05-11 21:06:30 发布
最新推荐文章于 2022-05-11 21:06:30 发布
阅读量251 收藏
点赞数
分类专栏: Web安全相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41042211/article/details/117904028
版权
本文介绍了CSRF(跨站请求伪造)的概念、漏洞原理及无防护的CSRF漏洞利用,包括GET型和POST型攻击。接着探讨了防御CSRF的策略,如使用Token和Referer检查,同时指出这些防御措施的潜在问题和绕过方法。通过实例展示了CSRF攻击的实施和检测工具的使用。
摘要由CSDN通过智能技术生成

目录

什么是CSRF

CSRF漏洞原理

无防护的CSRF漏洞利用

GET型CSRF漏洞

POST型CSRF漏洞

CSRF防御

利用tocken防止CSRF漏洞

利用Referer防止CSRF漏洞

什么是CSRF

  Cross-Site Request Forgery:跨站请求伪造,也称为ONe Click Attack或者Session Reinding,通常缩写为CSRF或者XSRF。

XSS与CSRF区别:

  1. XSS利用站点内的信任用户,盗取Cookie
  2. CSRF通过伪装成受信任用户请求受信任的网站

第三方网站对目标网站发起一个请求的时候利用用户的cookie冒充了用户的身份。

实现流程:

①用户访问网站(例如网上银行),网站返回cokkie,保存在浏览器里面。

②点击攻击链接/访问攻击者网站,网站返回一个包含恶意请求(例如银行转账)的页面

③浏览器对该请求进行解析执行,利用刚刚用户登录银行网站的cookie。

CSRF漏洞原理

利用目标用户的合法身份,以目标用户的名义执行某些非法操作。

但是有两个前提,①用户登录当前系统(

最低0.47元/天 解锁文章
GINTOKIKAWAI
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF-跨站请求伪造
AmyBaby00的博客
02-22 448
SCRF :跨站请求伪造 指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… CSRF目的: 修改用户名资料、账户密码,创建账户,自动发帖、点赞、评论等 SCRF原理: 浏览器在访问URL的时候会自带cookie,基于这个特性,我们可自行编写表单,诱骗用户访问, 当用户访问我们自己提交的表单的时候,表单就会自动提交,如果服...
存储img标签+csrf 组合拳--骚炒作
yggcwhat
05-26 700
存储img标签+csrf 组合拳--骚炒作 后面想写弹窗都会被拦截或者被过滤、这个时候我们可 关于目标 此应用程序是为人力资源部门构建的,用于管理员工的养老金。员工自己无权访问该应用程序。唯一的授权差异发生在主 HR 帐户和子 HR 帐户之间。 2 Sub-HR 帐户存在权限级别。 1. 只读访问 2. 标准访问 具有标准访问权限的子 HR 帐户可以创建、编辑、删除员工记录。但是,它不能创建新的子 HR 帐户
Web安全CSRF攻击
weixin_34221775的博客
03-01 322
CSRF是什么? CSRF(Cross Site Request Forgery),中文是跨站请求伪造CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下: htt...
前端常见安全漏洞
whaleluo的博客
05-11 1975
文章目录xss跨站脚本攻击csrf->xsrf跨站请求伪造攻击SSRF服务端请求构造点击劫持sql注入 xss跨站脚本攻击 以"文章发布系统"为例 input输入框输入字符串后使用v-html渲染成HTML显示在当前页面 当input输入script(sc里面的js不会执行) <script>alert(document.cookie)</script> 当input输入img标签的onerror回调(弹出cookie) <img src="test" on
csrf从小白到入门(简单易懂,有逻辑)
五分之一世纪
04-15 5306
<1>简介 csrf(cross-site-request-forgery)俗称跨站请求伪造,这种漏洞是服务端对用户审核不严格导致的。简单来说就是伪造一个用户的身份做一些违法乱纪的事情。举例说明,假如有一个人叫A,A打开了一个网站,这个网站在A打开并且登录之后返回了一个cookie,如果我这时发了一个钓鱼邮件给A,邮件中有我提前写好的html文件,A打开邮件附录的 html文件之后会直接访问他刚刚打开的网站,这时计算机会直接将刚刚的cookie发给服务器,这样就实现了冒用他的身份。有的人可能会问
CSRF攻击
weixin_42606458的博客
03-02 1244
对于常规的Web攻击手段,如XSS、CRSF、SQL注入、(常规的不包括文件上传漏洞、DDoS攻击)等,防范措施相对来说比较容易,对症下药即可,比如XSS的防范需要转义掉输入的尖括号,防止CRSF攻击需要将cookie设置为httponly,以及增加session相关的Hash token码 ,SQL注入的防范需要将分号等字符转义,等等做起来虽然筒单,但却容易被忽视,更多的是需要从开发流程上来予以...
01.入门笔记之看雪Web安全学习及异或解密示例1
08-03
1.网安术语 2.常用工具 3.推荐文章 3.越权漏洞 4.CSRF跨站请求伪造 5.支付漏洞 1.网安术语 2.常用工具
web安全学习笔记.pdf
09-20
* 跨站请求伪造CSRF):攻击者 trick 用户访问恶意网站,从而进行非法操作。 * 勒索软件攻击:攻击者通过传播恶意软件来加密用户数据,并要求赎金以解密。 三、Web 安全防御策略 * 输入验证:对用户输入进行验证...
Web安全学习笔记.pdf
10-22
笔记的核心部分是常见Web漏洞的攻防,包括SQL注入、XSS跨站脚本、CSRF跨站请求伪造、SSRF服务器端请求伪造、命令注入、目录穿越、文件读取、文件上传、文件包含、XML External Entity(XXE)攻击、模板注入、XPath...
信息安全工程师学习笔记.rar
03-06
6. **应用安全**:这部分将介绍Web应用安全,如XSS(跨站脚本攻击)、CSRF跨站请求伪造)和SQL注入等常见攻击,以及OWASP(开放网络应用安全项目)十大安全风险。 7. **法律法规与标准规范**:学习笔记会涉及信息...
CSRF安全测试流程
热门推荐
Breeze的博客
12-11 1万+
CSRF安全测试流程 1. csrf本质 跨站请求伪造的本质是通过伪造关键操作的数据包内容,从而借助拥有执行身份的用户保存cookie的浏览器发送出去,达到让用户不知情的情况下,“神不知鬼不觉”的执行的目的。 2. 收集csrf有利用价值的点 csrf由于其利用的特殊性,并不需要将整个站点的所有数据包均测试一遍,只需测试有csrf价值的点即可。具体“有无价值”的判断规则需自己定义,但一般情况下,一...
网络安全CSRF漏洞
qq_52074678的博客
05-08 1623
目录 一.什么是CSRF漏洞🍔🍔🍔 1.实现流程 2.原理 二CSRF案例分析 2.CSRF漏洞的危害 3.CSRF和XSS区别 4.CSRF playload 1)通过图片的img src属性,自动加载,发起GET请求 2)构建一个超链接,用户点击以后,发起GET请求 3)构建一个隐藏表单,用户访问,自动提交,发起POST请求CSRF漏洞挖掘 1.检测工具 四CSRF漏洞防御 1.防御思路 a。我们能不能区分一个请求是来自于自己的前端页面,还是第三方的网站? HTT
HTML form without CSRF protection,HTML表单没有CSRF保护
收集盒 Book box
07-18 6814
HTML form without CSRF protection =HTML表单没有CSRF保护  CSRF伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台
跨站请求伪造(CSRF)
hclimg的博客
07-29 301
CSRF介绍 CSRF(跨站请求伪造),是一种对网站的恶意利用,利用受害者尚未失效的身份认证信息(cookie、会话等)诱骗点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作 CSRF原理 攻击者利用目标用户的身份,以目标用户的名义执行某些非法操作。 CSRF漏洞的两个重点: 1> 目标用户已经登录了网站,能够执行网站的功能...
CSRF简单介绍及利用方法
weixin_33980459的博客
10-27 359
x00 简要介绍 CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式,CSRF利用方式可分为两种。   0x01 GET类型的CSRF 这种类型的CSRF一般是由于程序员安全意识不强造成的。GET类型的CSRF利用非常简单,只需要一个HTTP请求...
CSRF超级细致的讲解哇
wo41ge的博客
09-21 634
Cookie 属性 key 值 value 键 expires Cookie的持续时间 有效时间 domain Cookie的有效域名 path 哪些路径会携带Cookie secure httponly samesite 防止csrf的攻击 同源策略 域名 协议和端口相同 传统的csrf拿不到数据 (服务端)跨站请求伪造:Cross-Site Request Forgery 客户端请求伪造:Client-Side Request Forgery 即通过各种方式在客服端利用受害者的凭证发起请求
Security Shepherd实战笔记(答案)
qq_41042211的博客
07-14 4433
记录一下容易错的题目。 部分答案可以参考: https://sythonic.github.io/2016/OWASP-Security-Shepherd/ https://woj.app/2354.html https://susiecybersecurity.wordpress.com/category/09_owasp-security-shepherd/ Cross Site Scripting Challenge One <img οnerrοr=alert(`lalala`);>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值