web安全之token和CSRF攻击

最新推荐文章于 2023-09-15 09:54:48 发布
最新推荐文章于 2023-09-15 09:54:48 发布
阅读量457 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43685640/article/details/84036246
版权
本文深入探讨了Web安全中的Token机制及其在防止CSRF攻击中的作用。Token作为随机数,用于验证请求的合法性,防止恶意操作。同时,文章介绍了CSRF攻击的概念和危害,以及防御策略,包括使用POST而非GET,设置Referer Check和Anti CSRF Token。最后,强调了在存在XSS漏洞时,Token防御方案的局限性。
摘要由CSDN通过智能技术生成

分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow

也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!

               

       上文我转载了两篇关于ThinkPHP令牌验证的文章(ThinkPHP中的create方法与自动令牌验证)。其中提及到了  token ,这里针对 token 的作用,转载了另外两篇文章。

web安全之token   Web安全之CSRF攻击

web安全之token

参考:http://blog.csdn.net/sum_rain/article/details/37085771 

Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 

那么,Token有什么作用?又是什么原理呢? 

Token一般用在两个地方: 

1)防止表单重复提交、 2)anti csrf攻击(跨站点请求伪造)。 

两者在原理上都是通过session token来实现的。当客户端请求页面时,服务器会生成一个随机数Token,并且将Token放置到session当中,然后将Token发给客户端(一般通过构造hidden表单)。下次客户端提交请求时,Token会随着表单一起提交到服务器端。 
然后,如果应用于"anti csrf攻击",则服务器端会对Token值进行验证,判断是否和session中的Token值相等,若相等,则可以证明请求有效,不是伪造的。 
不过,如果应用于"防止表单重复提交",服务器端第一次验证相同过后,会将session中的Token值更新下,若用户重复提交,第二次的验证判断将失败,因为用户提交的表单中的Token没变,但服务器端session中Token已经改变了。 

上面的session应用相对安全,但也叫繁琐,同时当多页面多请求时,必须采用多Token同时生成的方法,这样占用更多资源,执行效率会降

最低0.47元/天 解锁文章
洞里有光
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF攻击原理与防御方法
墨痕诉清风的博客
02-25 4585
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
anti-CSRF Token布署时需要注意的一点问题
tenfyguo的技术专栏
11-24 1万+
from : http://hi.baidu.com/aullik5/blog/item/b2cdb4444d061c21cffca3a5.html       防范CSRF攻击的方案有许多种,有用验证码来防的(tenfy:方案比较重,适合于敏感数据的变更类操作,对一般查询信息类不是很合适),更多的是生成一个随机的token,当用户提交的时候,在服务器端比对一下token值是否正确,不正确就丢弃掉,正确就验证通过。     (因为有些人喜欢钻牛角尖,所以再次强调下,我们习惯于区分CSRF和XSRF,后者是在
程序猿必读-防范CSRF跨站请求伪造
weixin_34232617的博客
02-27 248
CSRF(Cross-site request forgery,中文为跨站请求伪造)是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站,这种攻击方式虽然不是很流行,但是却难以防范,其危害也不比其他安全漏洞小。 本文将简要介绍CSRF产生的原因以及利用方式,然后对如何避免这种攻击方式...
跨站攻击和利用CSRF token来防御
FinixLei的专栏 (https://github.com/FinixLei)
06-14 1843
跨站攻击: 用户首先访问网银站点,登录成功后,浏览器拿到token 用户并没有登出网银站点,此时又登录一个钓鱼站点 钓鱼站点有一个诱惑链接,用户点了此链接,此链接的内容是一个URL,而此URL的实质就是转账给钓鱼者,用的是网银的标准转账URL. 用户点此链接后,浏览器封装HTTP请求,当看见是访问那个尚未退出的网银站点,就自动加上了cookie与auth token 于是,authentica...
怎么防止跨站请求伪造攻击CSRF)?
dzqxwzoe的博客
02-24 1536
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。下面用一个银行网站的转账功能,说明攻击原理。
web安全——CSRF攻击
Novice-XiaoSong的博客
10-22 298
CSRF CSRF(Cross—Site Request Forgery)跨站点请求伪造,主要是利用浏览器端未过期的cookie信息伪造身份通过服务器的身份验证。 防御 (1)验证 HTTP Referer 字段 (2)在请求地址中添加 token 并验证 (3)在 HTTP 头中自定义属性并验证 CSRF攻击与防御 ...
网络安全 kali Web安全CSRF攻击
xueshenlaila的博客
03-16 890
CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。
CSRF攻击与防御,Web安全的第一防线
01-27
CSRF(跨站请求伪造)攻击...总之,CSRF攻击是一种严重的安全威胁,开发者应当采取多种防御措施,如Token验证、Referer检查等,确保Web应用程序的安全性。同时,定期进行安全审计和漏洞扫描是预防CSRF攻击的关键步骤。
5分钟科普CSRF攻击与防御,Web安全的第一防线
01-27
总结,了解并防范CSRF攻击是保障Web应用安全的重要环节。开发人员应采取有效的防护措施,如Token验证,同时用户也需提高警惕,避免在未退出重要网站时访问不可信的链接。对于企业来说,定期进行安全审计和漏洞扫描也...
CSFR攻击
Tech in Pieces
06-18 349
引子: 看到一段php代码中有@csrf 想知道这是什么意思 CSRF: Cross-site request forgery – 跨站请求伪造,也被称为:one click attack/session riding. 他做什么呢? 利用了我们的登录状态或者授权状态(cookie/还为登出某些正规网站(比如银行)),诱导我们点击一些网址 然后获取利益。 两个关键词:利用:不是窃取–因为真的很难窃取,但是如果你保持在其他网站的登陆状态或者你有cookie在某些正规网站,而且诱导你点击某些不正规链接,这些链接
CSRF攻击
后台开发
08-31 9742
CSRF攻击(Cross Site Request forgery) 全称跨站请求伪造 攻击者盗用你在某网站的身份如cookie,以你的名义向该网站发送恶意请求。这个就比较可怕了,能够利用你的身份发邮件,发短信,甚至转账,盗取账号等。 首先用户C访问站点A,然后通过信息验证完成登陆,此时产生cookie值保存在浏览器中,然后用户C在没有退出该网站的情况下,无意中访问了恶意的站点B,此时站点B的某个页面带着站点A的cookie 向站点A 发恶意请求,站点A根据请求所带的cookie,判断此请求为用户发送.
如何使用反 CSRF 令牌保护您的网站和 Web 应用程序
最新发布
zzhongcy的专栏
09-15 1094
虽然在许多情况下这在技术上可能是正确的,但通常很难预测访问 API 的所有方式(以及将来可能修改的方式),因此为 REST API 提供 CSRF 保护可能会被视为额外的安全层。使用上述基本的反 CSRF 令牌,您可以在登录时在用户会话 cookie 中设置令牌,然后为每个表单验证相同的令牌。为了平衡安全性和可用性,您可以为您使用的每个表单生成单独的令牌。但现在假设您的站点使用简单的基于令牌的 CSRF 缓解措施,并且您的 Web 服务器在登录后立即发送到浏览器的会话 cookie 中设置令牌。
web安全————CSRF攻击篇)
longger_lee
12-07 939
跨站请求伪造(CSRF)      首先先来看一个实例:当用户在某个论坛上删除某篇文章时,通过抓包获取请求如下:      http://blog.sohu.com/manage/entry.do?m=delete&id=12345678。用户登录后cookie为有效状态下,服务器接受到上述请求将会当作一次更新操作执行。为了完成CSFR攻击攻击者需要构造一个页面:http://www.a.c
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5899
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
CSFR(跨站请求伪造)攻击与防御
zhaohong_bo的专栏
05-21 4706
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二、CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,...
Web 安全CSRF 攻击详解
热门推荐
weixin_44211968的博客
05-11 1万+
文章目录一、CSRF 简介二、CSRF 原理三、CSRF 的危害四、CSRF攻击类型五、CSRF 的防御1. 验证 HTTP Referer 字段2. 在请求地址中添加 token 并验证3. 在 HTTP 头中自定义属性并验证参考链接 一、CSRF 简介 CSRF(Cross Site Request Forgery,跨站域请求伪造),也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF 。 尽管听起来像跨站脚本(XSS),但它与X
详记CSRF攻击与XSS攻击
sueRimn的博客
09-04 687
一、CSRF(跨站请求伪造) 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 1、攻击过程 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。这个过程可以这样来看: 用户登录了sueRimn.com,并保留了登录凭证(Cookie) 攻击者引诱用户点击访问了sb...
CSRF攻击Web安全防护关键
CSRF攻击与防御是Web安全领域至关重要的防线,它涉及到一种名为跨站请求伪造...理解和防御CSRF是保障网站安全的第一步,每个Web开发人员和安全专家都需要对此有深入的认识,以确保用户数据的安全和网站的稳定运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值