ctf从入门到放弃:token 与 csrf 的防范190514

最新推荐文章于 2024-06-01 00:02:47 发布
最新推荐文章于 2024-06-01 00:02:47 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: 学习日记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43504939/article/details/90219705
版权

Token是如何防止CSRF的?

CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造?
-每次请求,都增加一个随机码(需要够随机,不容易伪造),后台每次对这个随机码进行验证!

用bp抓包,post型的:
在这里插入图片描述

CSRF(token)项目的token生成代码:
在这里插入图片描述

有两点注意:
1.要生成新的
2.销毁旧的

最后,在后台有个这样的判断:
$_GET[]= $_SESSION[] 里面的是token
值,行了才能通过。

除了token,还有防范:
在这里插入图片描述

最后一点,验证码是人机交互的过程,
最好是登陆时用,修改信息提交的表单最好不要用。
不人性化,太麻烦,产品经理不会让你过的。。。

__N4c1__
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
【web-ctfctf-pikachu-CSRF
一个努力生活的人的博客
06-29 1096
ctf-pikachu-csrf
2024 H&N CTF Web&Misc 部分 wp
最新发布
qq_39947980的博客
06-01 1072
判断是thinkphp 3.2 参考官方手册:https://www.kancloud.cn/manual/thinkphp/1697 判断路由模式 默认phpinfo模式 走路由模式 类似这种传参 Thinkphp3.2.x的SQL注入之前接触过利用数组传参绕过 本地调试可以得到SQL语句 解法一: 原理分析参考文章:https://www.freebuf.com/articles/web/345544.html 构造数组传参即可 注意是单引号闭合 直接打就可以了 解法二: Runtime有缓存直接就是s
CTFHub-JSON Web Token-弱密钥
feng的博客
09-16 2729
根据题目的提示: 如果JWT采用对称加密算法,并且密钥的强度较弱的话,攻击者可以直接通过蛮力攻击方式来破解密钥。尝试获取flag。 进入环境之后还是一样的,随意登录,抓包,发现返回了token: 我们发现HS256是对称加密算法,根据题目意思,密钥强度较弱可以直接爆破,因此我们进行爆破: 我们使用这个工具: JWT cracker 自己写脚本也可以,不过我不会python。。。我也没找到个好用的字典(我也很迷,我找了几个字典密钥全都不在里面,最后只能用这个比较强的工具了) 这个工具需要在Linux上面运
忘记密码-链接的形式(链接Token参数可逆、结合CTF靶场)
m0_61506558的博客
08-14 804
通过邮箱找回密码时,邮件中将出现一个含有 token 的重置 URL ,该 token 即为重置凭证。从经验来看,开发人员习惯以时间戳、递增序号、关键字段(如邮箱地址)等三类信16/40息之一作为因子,采用某种加密算法或编码生成 token ,攻击者可以基于能收集到的关键字段,用常见加密算法计算一遍,以判断是否可以预测出 token。下面举两个案例加以说明。............
CTF第十五天
qq_52680097的博客
08-29 441
JSON Web Token 关于JWT,下面是一些资料 添加链接描述 添加链接描述 简单来说,就是身份验证的payload 敏感信息泄露 1.随便登录一个账号后再网页工具的“网络”查看token 2.解密 添加链接描述 3.将上面和下面拼成flag值就行 无签名 1.在pycharm中加入pyjwt库,下面是安装教程 添加链接描述 2.运行以下脚本 import jwt payload={ "username": "admin", "password": "admin", "role":
CTF入门到提升(一).docx
12-18
CTF入门到提升(一) CTF(Capture The Flag)是一种网络安全竞赛的形式,起源于西方传统运动,两军互相争夺旗帜,夺取敌军旗帜代表战败。在信息安全领域,CTF是通过各种攻击手法,获取服务器后寻找指定的字段,...
【转】CTF-All-In-One(CTF入门放弃)pdf
03-20
CTF-All-In-One(CTF入门放弃) ——“与其相信谣言,不如一直学习。”
CTF入门到提升(二).docx
12-18
CTF入门到提升(二) CTF(Capture The Flag)是一种类型的网络安全挑战赛,旨在提高参与者的信息安全能力和实践经验。想要入门CTF,需要具备一定的基础知识和技能,本文将从入门到提升的角度,介绍CTF的基本概念...
CTF入门到提升教学视频
01-28
CTF能够锻炼选手对一些漏洞的理解能力,对安全研究、渗透测试也有一定的作用。越来越多的企业招聘安全从业人员时都会对CTF有一定的要求。
CTF入门到提升(三).docx
12-18
CTF入门到提升(三).docx
CTFHUB--JSON Web Token
qq_49422880的博客
06-07 1806
基础知识 链接: 官方解释.   什么是JWT Json Web Token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519。 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景,是目前最流行的跨域认证解决方案。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT 的原理 服务器认
CSRF
kuiguowei的博客
01-16 1167
CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。 C
CTF-web Xman-2018 第五天 xss csrf
iamsongyu的博客
12-15 1403
xss常见套路 对于xss,实际上就是把我们提交上去的数据当做代码执行,对于这种实际上有很多种情况可以攻击,下面具体介绍一些常用的套路。 先看一些小trik 很多HTML标记中的属性都支持javascript:[code]伪协议的形式. <table background="javascript:alert(/xss/)"></table> <img src=...
ctf入门放弃:xss及csrf的理解20190505学习笔记
爱党人士
05-06 2226
xss漏洞危害的三个案例: 1.XSS漏洞测试:cookie的窃取和利用  2.XSS漏洞测试:钓鱼攻击  3. XSS漏洞测试:xss获取键盘记录 利用输入恶意的js语句,并且是以get方式提交的,通过这个链接去欺骗用户点击后, 获取cookie,发到攻击者的后台。 2 post型不像get型那样可以直接获取url地址来欺骗用户点击达到欺骗目的,那么怎么办呢? 此时可以自己伪造一个页面,欺...
一段csrf利用代码
一个码农的笔记
09-09 1687
function test() { document.getElementById("myform").submit(); } 上面是利用post形式进行传递参数 下面是get方式进行传递参数 为了让上面的代码更具有隐蔽行,把上面的代码保存成1.html,然后下面用框架包含,并且把框架长,宽都设置成0,这样就能杀人于无形了
网络安全漏洞——CSRF漏洞
A906003660的博客
07-29 146
● 获取目标用户发出去的数据包● 利用工具生成一个网页(伪造的l● 诱导用户访问我们伪造的网页。
CSRF攻击(跨站请求伪造)和防御
han_code的博客
05-14 768
CSRF 简介 CSRF,全名 Cross Site Request Forgery,跨站请求伪造。很容易将它与 XSS 混淆,对于 CSRF,其两个关键点是跨站点的请求与请求的伪造,由于目标站无 token 或 referer 防御,导致用户的敏感操作的每一个参数都可以被攻击者获知,攻击者即可以伪造一个完全一样的请求以用户的身份达到恶意目的。 CSRF 类型 按请求类型,可分为 GET...
CTF比赛必备常用工具(附下载方式)
热门推荐
Python_0011的博客
06-27 1万+
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。主要包括六大类:PWN、CRYPTO(解密)、REVERSE(逆向)、WEB、MISC(杂项)其中,REVERSE(逆向)和MISC(杂项),在比赛中要使用大量的辅助工具,才能快速解题。本文章也主要聚焦这两类赛题的工具。
CTF比赛入门宝典:基础知识与实战技巧
"CTF比赛全量指南(ctf-all-in-one).pdf" 是一本针对CTF竞赛的全面教程,旨在帮助新人快速入门并提升技能。书中详细介绍了各类CTF题型,包括基础知识和实战案例。 CTF,即Capture The Flag,是一种网络安全竞赛...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值