CSRF漏洞基础学习(笔记)

最新推荐文章于 2024-04-23 12:35:36 发布
最新推荐文章于 2024-04-23 12:35:36 发布
阅读量460 收藏 2
点赞数
分类专栏: 基础漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44700119/article/details/107823390
版权
本文详细介绍了CSRF(跨站请求伪造)漏洞的基础知识,包括其定义、利用方式(GET型和POST型)、自动化探测手段、Token防御机制以及Referer防御的绕过技巧。通过实例展示了如何利用CSRF进行恶意操作,并提出了验证码、Referer检查和Anti CSRF Token等防御策略。
摘要由CSDN通过智能技术生成

CSRF原理

CSRF漏洞定义

CSRF(Cross-site request forery,XSRF)跨站请求伪造,也被称为One Click Attack或Session Riding。
CSRF与XSS的区别:
1、XSS利用站点内的信任用户,盗取cookie
2、CSRF通过伪装成受信任的用户请求受信任的网站

CSRF漏洞原理

利用目标用户的合法身份,以目标用户的名义执行某些非法操作
例如:
转账链接:http://www.xxx.com/pay.php?user=xx&money=100
构造恶意链接:http://www.xxx.com/pay.php?user=恶意用户&money=10000

CSRF漏洞利用简单示例

环境:bwapp
示例:bwapp - CSRF(change password)-low
修改密码为test(原密码为bug)

复制该链接
http://bwapp:8089/csrf_1.php?password_new=test&password_conf=test&action=change

退出登录,尝试使用bug登录,登录失败,使用test登录,登录成功。修改复

最低0.47元/天 解锁文章
YanY'sH
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF跨站请求伪造-漏洞复现及靶场搭建
m0_58265086的博客
08-28 87
1.建立两个受害者和一个攻击者。
CSRF 漏洞详解
一个努力学习网安的小牛马
11-13 566
CSRF漏洞详解
渗透测试-一文了解csrf漏洞
最新发布
lza20001103的博客
04-23 1322
渗透测试-一文了解csrf漏洞
CSRF漏洞
热门推荐
weixin_39861994的博客
10-29 1万+
一、CSRF漏洞介绍: CSRF是指利用受害者尚未失效的身份认证信息( cookie、会话 等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下 以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。 CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用 二、CSRF类型: get请求型CSRF需要构造URL,然后诱导受害者访问利用。 POST请求型CSRF 构造自动提交的...
CSRF漏洞详解
xcxhzjl的博客
11-19 3154
一、CSRF漏洞原理 1、基本原理 CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。 2、流程图 3、条件 ●用户成功登陆了网站系统,能执行授权的功能 ●目标用户访
bWAPP——CSRF
weixin_41182861的博客
08-29 1125
一、CSRF (Change Password) 1.1、Low 本场景,通过GET请求方式修改密码, 并且验证仅验证两次输入的新密码是否相同: 面对本场景的攻击:攻击者将在自己的站点上构造恶意页面,并引诱被攻击者访问恶意页面的链接,即可达到攻击目的。 恶意页面源码: //1.链接利用(a标签) <a href="http://192.168.83.129:10001/csrf_1.php?password_new=hack&password_conf=hack&action=
基础篇】第03篇:PHP代码审计笔记--CSRF漏洞1
08-03
1.空Referer绕过 2.判断Referer是某域情况下绕过 3.判断Referer是否存在某关键词 4.判断referer是否有某域名 2.利用xss漏洞
web安全学习笔记.pdf
09-20
Web 安全学习笔记是关于网络安全的综合性学习笔记,涵盖了 Web 安全的基础知识、常见威胁、防御策略等方面的内容。下面将详细介绍该笔记中所涉及的知识点: 一、Web 安全基础 * Web 安全定义:Web 安全是指保护 ...
Web安全学习笔记.pdf
10-22
笔记的核心部分是常见Web漏洞的攻防,包括SQL注入、XSS跨站脚本、CSRF跨站请求伪造、SSRF服务器端请求伪造、命令注入、目录穿越、文件读取、文件上传、文件包含、XML External Entity(XXE)攻击、模板注入、XPath...
shiro学习笔记
12-20
- **安全最佳实践**:学习如何避免常见的安全漏洞,如CSRF、XSS等,以及如何进行安全配置优化。 这个"shiro学习笔记"涵盖了Shiro的基本使用到高级特性,通过学习,你将能够熟练地运用Shiro来保障你的Web应用的安全...
CSRFTester:一款CSRF漏洞的安全测试工具
01-31
Web安全学习笔记
11-03
《Web安全学习笔记》 在当今数字化的时代,Web安全已经成为每一个互联网用户,特别是开发者和网络安全专业人员必须关注的重要领域。Web安全主要涉及保护Web应用程序免受各种攻击,如SQL注入、跨站脚本(XSS)、跨站...
Web安全之CSRF攻击
weixin_34221775的博客
03-01 317
CSRF是什么? CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下: htt...
#WEB安全入门系列之CSRF漏洞详解
jklbnm12的博客
06-24 731
WEB安全入门系列之CSRF漏洞详解 一、CSRF介绍 CSRF(Cross-site request forgery) 全称“跨站请求伪造”,也被称为“One Click Attack”或者“Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的
为什么brupsuit的engagement tools[pro vesion only ]无法勾选呀
m0_53203550的博客
05-09 174
CSRF 漏洞学习笔记
qq_32812063的博客
11-24 581
CSRF笔记
CSRF漏洞学习
three_year的博客
05-10 256
CSRF介绍 CSRF全程为Cross-site request forgery,中文名为跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用 CSRF漏洞的原理 攻击者利用目标用户的身份,以目标用户的名义执行某种非法的操作 CSRF的危害 以目标的名义发送邮件、发信息、盗取目标用户的账号、个人信息等 CSRF攻击过程的重点 1.目标用户已经登录了网站,能够执行网站的功能 2.目标用户访问了攻击者构造的URL 演示 以DVWA靶机为实验机做实验 进入这个页面使用默认的账号和密码登录进
CSRF 漏洞学习
qq_45521281的博客
05-24 758
CSRF 漏洞 CSRF全称为Cross-site request forgery, 跨站请求伪造。说白一点就是可以劫持其他用户去进行一些请求,而这个CSRF的危害性就看当前这个请求是进行什么操作了。 跨站请求攻击,简单地说,是攻击者通过一些技术手段,指利用受害者 “尚未失效的身份认证信息”(cookie、会话等)欺骗用户 的浏览器 去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这
"WEB安全基础-合集篇:SQL注入、XSS、CSRF等全面学习指南
WEB安全基础-合集篇,涵盖了基础SQL注入、文件上传、XSS、CSRF、文件包含、逻辑漏洞等内容。这篇文章适合新手学习参考,通过学习这些知识可以快速了解渗透测试的基础知识。 在这篇合集中,作者首先介绍了WEB安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值