常见漏洞总结---CSRF(跨站伪造请求)

最新推荐文章于 2023-03-25 10:47:34 发布
最新推荐文章于 2023-03-25 10:47:34 发布
阅读量327 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41976183/article/details/100097415
版权

1、定义(服务器信任用户)
跨站伪造请求,是指利用受害者尚未失效的身份认证消息(cookie,会话等),诱骗其点击恶意链接或访问包含攻击代码的页面,在受害人不知情的情况下以受害者向(身份认证信息所对应的)服务器发送请求,从而完成非法操作。

2、原理:
原理如上图
网站A存在csrf漏洞。
攻击者:B
受害者:A/C
CSRF属于业务逻辑漏洞,在服务器看来,所有的请求都是合法正常的。而XSS和SQL注入都属于技术漏洞。

实行csrf攻击的前提:
1)用户必须登录(身份认证成功)
2)攻击者要懂得发包请求
3)服务器不具有二次认证
4)被害者是不知情的

XSS与CSRF结合起来攻击:
攻击者向正常网站A(存储型)上传一个具有重定向功能的js脚本,普通用户访问网站A并验证通过,A返回给用户cookie值,这时触发了存储型XSS,被重定向到了攻击者构造的网站B,B通过A的cookie去访问网站A。剩下与csrf同理。
此方式是通过XSS主动重定向到第三方。单纯的CSRF是被动的等待用户点击访问。效率低下。

3、绕过方法:
token验证:记录cookie值,和csrf-token值一起发送给服务器。

4、防御方法:
1)浏览器增加二次认证功能。
2)验证token值。
3)验证http头的referer,正则表达式限制完善。
4)用XMLHttpRequest附加在header里。

dshfyjxdnh
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF跨站请求伪造(防止黑客攻击)
01-15 3388
案例演示 正常逻辑访问:用户名和密码是写死的: 如果输入成功就重定向到转账界面来输入用户名和密码:跳转到转账界面了, 接下来我们输入账号和金额:点击转账会做什么呢?我们先来看一下:哦, 原来是执行转账(假装),然后打印一下结果:伪造逻辑(csrf发生过程): 现在来一个黑客,要利用csrf来攻击你的转账界面: 那他就先来了解了一下你的转账界面:知道了你转账的请求的url,就是当前界面 转账所带...
利用csrf执行非法参数进行越权操作
weixin_43239236的博客
01-24 421
使用pikachu平台操作 详细操作和说明见https://www.cnblogs.com/dogecheng/p/11583412.html 大概思路分两种: 1.GET中带有参数进行参数修改的尝试,然后去GET请求执行 http://192.168.21.2/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=18656565545&add=uua&email=lili%40pikachu.com&su
csrf(csrf请求非法是什么意思)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-25 303
CSRF具体操作我想在Windows7安装一个SQLServer 这个按正常步骤安装就可以了啊,不知道你困惑在哪里。。。。 CSRF保护过滤器有什么功?CSRF保护过滤器有什么功能 安全漏洞跨站请求伪造(CSRF)Tomcatservlet容器的最新版本CSRF保护过滤器,它提供很多保护来防止CSRF攻击 X...
CSRF跨站伪造请求
guodejie的博客
06-22 337
什么是CSRF跨站伪造请求:用户登录安全网站A成功后,然后在没有退出登录的情况下,又登录了不安全网站B,点击一些链接,因为是用的同一浏览器,不安全网站B可以通过浏览器伪装成该用户身份向网站A发出请求做一些非法操作(隐藏在链接里面)。网站A:@app.route('/transfer', methods=["POST", "GET"]) def transfer(): # 从...
CSRF(Cross-site request forgery 跨站请求伪造)
myfuturein的专栏
10-08 6990
CSRF(Cross-site request forgery 跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CS
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
论文研究-跨站请求伪造CSRF)攻击与防范技术研究 .pdf
08-23
跨站请求伪造CSRF)攻击与防范技术研究,刘雅楠,马兆丰,跨站请求伪造CSRF)攻击作为最严重的web漏洞威胁之一被列入了开放Web应用安全项目(OWASP)十大漏洞列表。该攻击具有很大隐蔽性和危
php漏洞网站请求伪造与防止伪造方法
10-26
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种网络安全漏洞,攻击者通过诱导用户在未经许可的情况下执行非预期的操作,从而达到恶意目的。在PHP开发中,了解并防止这种攻击至关重要。 首先,我们...
CSRF请求伪造
Author_CHEN的博客
08-31 1430
CSRF请求伪造 经了解,还是有很多系统没有针对该攻击做防御措施。即便如此,并不建议、推荐抑或是鼓励大家使用该方式攻击别人的网站、系统或App等。 攻击行为可能触犯刑法破坏计算机信息系统罪或其他罪。 CSRF请求伪造 一、简介 二、举例 三、常用防御方式 1. session防御 2. 人工防御 3. 配置cookie的Same-Site 1. Strict 2. Lax 3. None 4. 服务端防御 四、拓展 一、简介 CSRF(Cross Site Request Fo
nginx配置CSRF漏洞
u013008898的博客
03-25 521
【代码】nginx配置CSRF漏洞
跨站请求伪造
weixin_30387663的博客
01-04 133
1. 什么是跨站请求伪造CSRF)  CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来...
跨站请求伪造CSRF
FEWY的博客
11-26 860
CSRF 介绍 CSRF,是跨站请求伪造(Cross Site Request Forgery)的缩写,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。 通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。 CSRF 攻击示例 这里有一个网站,用户可以看...
CSRF跨站请求伪造)解决方案
momDIY的博客
11-30 2056
理解CSRF(跨站请求伪造) 原文出处Understanding CSRF 对于Express团队的csrf模块和csurf模块的加密函数的用法我们经常有一些在意。 这些在意是莫须有的,因为他们不了解CSRF token是如何工作的。 一个CSRF攻击是如何工作的?在他们的钓鱼站点,攻击者可以通过创建一个AJAX按钮或者表
nginx解决CSRF安全漏洞
MRLEE1212的博客
11-10 2999
使用AppScan扫描出来安全漏洞中,出现修改referer,但是仍然可以获取请求结果,出现CSRF安全漏洞提示,修改方法如下: 防法1. 修改nginx配置文件: location /auth { valid_referers none blocked 10.100.13.55 10.100.13.55:80; if ($invalid_referer) { return 403; } proxy_set_header Host $host; proxy_set_header X-Real-IP $rem
CSRF(Cross-Site Request Forgery) 跨站请求伪造
Eason_LYC安全白帽子的成长博客
05-13 1587
WEB安全中CSRF漏洞攻击最为全面的知识点总结,直击核心知识点,将零散的知识汇总梳理。为深入学习CSRF打下良好基础!
跨站请求伪造CSRF (Cross-site request forgery)
太阳晒屁股了的博客
11-14 524
CSRF原理:CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 一,CSRF攻击流程:其中Web A...
跨站请求伪造_十大常见web漏洞——跨站请求伪造CSRF
weixin_39657094的博客
12-08 476
CSRF介绍什么是CSRF呢?我们直接看例子。https://mp.toutiao.com/profile_v3/graphic/preview?do=delete&pgc_id=6829574701128352260这个URL是头条删除pgc_id为6829574701128352260的一篇文章的连接,通过执行这个URL用户就可以删除这篇文章。首先攻击者会构造一个页面:https://...
跨站伪造请求CSRF(Cross-site request forgery)
qq_30683393的博客
05-12 234
CSRF是说攻击者可以利用别人的权限去执行网站上的操作,例如删除资料。例如,攻击者张贴了以下脚本到网页上: <img src="/posts/delete_all"> 攻击者自己当然是没有权限可以执行”/posts/delete_all”这一页,但是网站管理员有。当网站管理员看到这一页时,浏览器就触发了这个不预期的动作而把资料删除。 要防范CSRF,首先可以从区别GET和POST的H...
CSRF跨站请求伪造漏洞
最新发布
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值