token详解及常见防范措施;远程命令、代码执行漏洞原理及案例演示

Token是如何防范CSRF的?

CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不被伪造呢? 可以每次请求都增加一个随机码。
每次对敏感信息进行修改时后端都会调用一个函数随机生成一个随机码。
在pikachu实验平台进行实际的演示:
在csrf token模块登陆进行数据修改用burpsuite对操作进行抓包处理。
在这里插入图片描述可以看到GET请求为GET /pikachu/vul/csrf/csrftoken/token_get_edit.php?sex=boy&phonenum=15988767673&add=beijing&email=kobe%40pikachu.com&token=110045cce715c7f339405238694&submit=submit相较于之前的实验,这里多了一个token的值token=110045cce715c7f339405238694用来防止csrf
防范措施:
增加token验证(常用的做法):
1.对关键操作增加token参数,token值必须随机,每次都不一样;
关于安全的会话管理(避免会话被利用):
1.不要在客户端保存敏感信息(比如身份认证信息);
2.测试直接关闭,退出时的会话过期机制;
3.设置会话国企机制,比如15分钟内误操作,则自动登陆超时&#

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑黑黑白白白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值