通过故事搞懂CSRF危害

最新推荐文章于 2024-03-27 09:12:51 发布
最新推荐文章于 2024-03-27 09:12:51 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: 开发 文章标签: 安全 安全漏洞 web开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43751598/article/details/120485577
版权

先看图 后说事
在这里插入图片描述

1:CSRF是什么?

CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery)攻击者盗用了你的身份,以你的名义发送恶意请求。

2:上面故事是如何发生攻击的

  1. 首先小K是管理员已经登陆了网站,大家都知道登陆网站就会产生一个token。
  2. 小B通过某种途径获得了A网站的删除人员的请求URL和参数
  3. 小K收到一个邮箱,没有经受住诱惑点击后会已小k登陆的COOKIE发起请求进行删除.
  4. 小B通过链接伪造小k的身份进行了攻击

3:故事结尾

小K这一点诱惑链接发送删除请求,小K看的正在高兴公司看老板一个电话打来劈头就喷:为什要把用户删除?正好被小B路过看到心想 就知道你受不住诱惑 跟我斗中招了吧,高高兴兴 潇洒离去.数据删除了怎么办?只能恢复了,这个时候又轮到了程序员的工作了,小B心想完了大意了 数据没有备份…(记得不要看到美女就点进入,后果吗你懂得)

吃橘子的汤圆
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【网络安全】CSRF漏洞详细解读
你在看屏幕的同时,屏幕也在注视着你
05-22 1722
CSRFCSRF介绍1.什么是CSRF2.CSRF漏洞危害CSRF的三种漏洞1.GET类型CSRF2.POST类型CSRF3.Token类型CSRF三 靶场演示四 CSRF漏洞修复方法修复方案(1)验证http referer字段(2).在请求地址中添加token并验证(3)在http头中⾃定义属性并验证(4)其他防御⽅法五 小结 一 CSRF介绍 1.什么是CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Se
anticsrfCSRF预防库的示例用法
02-02
反抗 CSRF预防库的示例用法
CSRF: 不要低估了我的危害和攻击能力
05-28 979
CSRF这种攻击方式虽然提出来很久(在2006年的时候就有了)了,但是这个沉睡的攻击巨人直到前不久才逐渐走入我们的视线,到底CSRF是啥,危害到底有多大?常见的利用方式是如何的,今天作为“安全相关 | Security”分类的第一篇文章,我按照自己的理解告诉你,不要低估了CSRF危害性和攻击能力。一、什么是CSRF先看看CSRF的原文说明,如下:Cross Site Reference
被领导怼了,CSRF危害及防御都不知道,你还做啥设计?
最新发布
周沐子
03-27 615
CSRF跨站请求伪造,全称Cross-site request forgery,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF是Web安全中最容易被忽略的一种攻击方式,但某些时候却能产生强大的破坏性。
CSRF攻击的危害分析
stormjun的博客
07-13 471
跨站请求伪造(Cross-Site Request Forgery,简称 CSRF)是一种常见的网络攻击,攻击者通过伪造用户请求,将恶意请求发送到目标网站,从而实现攻击目的。CSRF攻击可以造成严重的危害,本文将从多个方面分析CSRF攻击的危害,并探讨防范CSRF攻击的措施。
用代码来细说Csrf漏洞危害以及防御
dfdhxb995397的博客
07-28 327
开头:废话不多说,直接进主题。0x01 CSRF介绍:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利...
浅谈路由CSRF危害,和非主流姿势
weixin_33795833的博客
03-08 252
黄小昏 · 2013/10/31 12:130x00 环境分析近期爆出的D-link的后门让大家人心惶惶。。还好我不用D-link,这样就完事了?用户有能力补上漏洞吗,厂商能及时通知用户防止中枪吗?很显然,谁都没有做到。首先只要一公布xxx路由存在xxx漏洞,这就给自己的公司抹黑,首先用户不会升级(能正常上网谁这么无聊去更新路由器的固件,丁丁很大?),又给公司添加了公关压力,这搁给谁谁都不会去做。...
Bolt:CSRF扫描仪-源码
05-25
螺栓笨拙的CSRF扫描仪重要的Bolt处于测试的Beta阶段,这意味着可能存在错误。 不鼓励使用此工具。 欢迎提出请求和问题。 如果您对此仓库感兴趣,我也建议您将它放在监视中。工作流程爬行Bolt将目标网站爬网到指定的...
CSRF漏洞详细说明
02-26
与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,...
详解Django的CSRF认证实现
09-20
主要介绍了详解Django的CSRF认证实现,详细的介绍了csrf原理和实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
基础漏洞csrf挖掘实战
10-07
这种攻击一般依赖于目标对象之前已经通过了具有漏洞的网站的身份认证,并且攻击者向该网站发起的提交动作和网站的响应不被目标对象感知。当CSRF攻击成功时,我们就可以修改服务器端信息并很有可能完全接管用户的账号。...
CSRF攻击的危害有什么?怎么预防?
dexunjiaqiang的博客
01-19 629
当用户登录一个网站后,该网站会向用户的浏览器中发送一个Cookie,该Cookie中包含了用户的身份验证信息。如果攻击者能够诱导用户访问一个特定的URL,并且该URL包含了恶意的请求参数,那么该URL就会在用户的浏览器中发起一个请求,并且该请求会携带用户的身份验证信息。由于服务器对用户的身份验证信息进行了信任,因此该请求会被认为是合法的,从而对用户的账户或其他敏感数据进行非法操作。这种攻击通常发生在用户在登录状态下访问其他网站时,攻击者通过诱导用户访问特定的URL,利用用户的身份伪造请求,进行非法操作。
CSRF漏洞危害,防御及其dvwa环境下的利用
sun_k的博客
08-08 4650
1.csrf(用户请求伪造) 1.1原理:(攻击者知道重要操作的所有参数)当A用户使用浏览器访问一个带有csrf漏洞的网站时,并且产生了cookie值存储在浏览器中,在用户A不退出网站的前提下,这时候访问用户B(攻击者)构造的的恶意链接,使其服务器以为是用户A的合理请求以达到攻击者想要的请求。 1.2危害:以受害者名义发送邮件,发消息,盗取受害者的账号,甚至购买商品,虚拟货币转账,修改受害者的网络...
csrf漏洞攻击手段和影响详解
lidiya007的博客
01-17 472
针对web应用安全中csrf漏洞两种典型的攻击方式:即输入和执行,这种简单模式下的攻击手段以及中途包含确认页面的攻击方法。 图解什么是csrf漏洞   我们先进行约束,比如存在csrf漏洞的网站叫webA攻击者webB,受害者userA它访问的是webA,也就是webA对于受害者user来说它是一个可信的网站。用户通过浏览器登录了网站A后,输入了账号密码,登录成功,确认通过,这个时候,这个网站
CSRF漏洞
weixin_39861994的博客
10-29 1万+
一、CSRF漏洞介绍: CSRF是指利用受害者尚未失效的身份认证信息( cookie、会话 等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下 以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。 CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用 二、CSRF类型: get请求型CSRF 只需要构造URL,然后诱导受害者访问利用。 POST请求型CSRF 构造自动提交的...
网络安全之CSRF漏洞
qq_52074678的博客
05-08 1443
目录 一.什么是CSRF漏洞🍔🍔🍔 1.实现流程 2.原理 二CSRF案例分析 2.CSRF漏洞的危害 3.CSRF和XSS区别 4.CSRF playload 1)通过图片的img src属性,自动加载,发起GET请求 2)构建一个超链接,用户点击以后,发起GET请求 3)构建一个隐藏表单,用户访问,自动提交,发起POST请求 三CSRF漏洞挖掘 1.检测工具 四CSRF漏洞防御 1.防御思路 a。我们能不能区分一个请求是来自于自己的前端页面,还是第三方的网站? HTT
【Web 安全】CSRF 攻击详解
热门推荐
weixin_44211968的博客
05-11 1万+
文章目录一、CSRF 简介二、CSRF 原理三、CSRF危害四、CSRF 的攻击类型五、CSRF 的防御1. 验证 HTTP Referer 字段2. 在请求地址中添加 token 并验证3. 在 HTTP 头中自定义属性并验证参考链接 一、CSRF 简介 CSRF(Cross Site Request Forgery,跨站域请求伪造),也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF 。 尽管听起来像跨站脚本(XSS),但它与X
不错的讲解CSRF攻击的小例子
jackyrongvip的专栏
03-26 286
CSRF
CSRF漏洞的危害和防护方法
06-10
这种攻击方式的危害非常大,可能导致用户财产损失、个人隐私泄露等问题。为了避免 CSRF 攻击,我们可以采取以下防护方法: 1.增加随机因子:可以在表单提交、链接跳转等操作中增加一个随机的 token,使得攻击者无法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃橘子的汤圆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值