CSRF手记

最新推荐文章于 2023-11-19 02:37:36 发布
最新推荐文章于 2023-11-19 02:37:36 发布
阅读量121 收藏
点赞数
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45791294/article/details/117432527
版权

CSRF手记

CSRF原理:

用户端于服务器端利用HTTP协议进行交互,并利用请求-相应的方式开展web应用,用户端发出的请求可以被伪造,那么就形成了跨站请求伪造。csrf完全不同于xss。

xss攻击侧重于获取用户的权限和信息;csrf则是攻击者伪造当前用户,让目标服务器误以为请求是由当前用户发起,并利用当前用户权限实现业务请求。
从攻击者视角来说:当正常用户正常登录一个网站后未退出并访问了攻击者的网站,攻击者就可以指示用户带着自己的cookie访问之前正常登录的网站执行操作。

效果:

在当前用户不知情的情况下,以当前用户的身份发送业务请求并执行。

条件:

用户处于登录状态
伪造的连接于正常应用请求连接一致
后台未对用户业务开展合法性检查

危害:

csrf漏洞配合存储型xss,可实现当前用户页面上嵌入攻击伪造连接,从而大大增加用户点击的可能性。

检测:

抓一个正常的请求包,去掉referer字段后重新提交,如果提交有效,那么基本确认为一个csrf漏洞,也可以使用csrf漏洞检测工具。

防护:

由于web系统对当前用户身份认证不足造成的,所以常见防护手段是为关键业务点添加合理的验证方式,以实现对用户合法身份的二次确认。
添加中间环节: 添加验证过程 只使用json api 在 HTTP 头中自定义属性并验证 验证用户请求合法性 验证http
referer(记录了http请求的来源地址)
token在当前用户第一次访问某项功能页面时产生,且时一次性的,在生成完毕后由服务器端发送给客户端。

Tomoon16
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逻辑漏洞与越权手记
浪子燕青的博客
02-23 715
title: 逻辑漏洞与越权手记 copyright: true top: 0 date: 2019-09-01 07:49:52 tags: 逻辑漏洞 categories: 渗透测试 permalink: password: keywords: description: 记录一些逻辑漏洞与越权的姿势笔记 打开这扇门你就会进入新的世界,但那样你就再也回不去了……你每做出一个新的选择,其他选项就消失了。自始至终,你都只有一条路走 最近在看逻辑漏洞与越权相关书籍,记录一些常用的方法,每次检测的时候按照不同.
CSRF demo代码
02-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,它允许攻击者在用户浏览器中,利用用户的已登录身份执行非预期的操作。这个“CSRF demo代码”可能是一个示例,用于演示如何实施或防范...
XSS手记
qq_45791294的博客
05-31 341
XSS攻击: 跨站脚本攻击是攻击者利用网站程序对用户输入过滤不足的缺陷,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用身份进行某种动作或对访问者进行病毒侵害的一种攻击方式 原理: 本质上是一种将恶意脚本嵌入到当前网页中并执行的攻击方式。黑客通过HTML注入行为篡改网页,并插入恶意的js脚本,从而在用户浏览网页的时候控制浏览器行为 产生原因: 主要原因是网站对用户提交的数据过滤不严格,攻击者利用其用户身份在输入参数时附带了恶意脚本,在提交到服务器后,服务器没有对用户端传入的参数做
手记_Spring Security
CYLJ126手札
01-07 216
目录 Spring Security手记 内容 CSRF防护 重定向循环 Spring Security手记 内容 CSRF防护 CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作。 具体来讲,可以这样理解CSRF。攻击...
Java Web及网络手记
weixin_43427304的博客
03-30 70
1.JSP 有哪些内置对象?作用分别是什么? 答: request:封装客户端的请求,其中包含来自 get 或 post 请求的参数; response:封装服务器对客户端的响应; pageContext:通过该对象可以获取其他对象; session:封装用户会话的对象; application:封装服务器运行环境的对象; out:输出服务器响应的输出流对象; config:Web 应用的配置对象; page:JSP 页面本身(相当于 Java 程序中的 this); exception:封装页面抛出异常的
PSI Probe 安装手记
xuyunti的博客
08-19 125
一、简介   psi-probe是lambdaprobe的一个分支版本,用于对Tomcat进行监控,比tomcat的manager强大很多。   psi就是一个形如叉子的符号Ψ,希腊字母的第23个字母,用来代表fork。   为啥需要分支呢,因为lambdaprobe已经多年没有更新(大致在2006年就停止发布新版本了)。   二、下载地址   http://code.go...
python进阶手记(一)
一枚coder的精进(荆棘)之路
07-25 259
什么是pythonic?简单来说就是具有强烈python风格的代码,直观、易读、简洁、优雅。
psi-probe安装手记
热门推荐
fbysss的专栏
03-03 1万+
作者:fbysssmsn:jameslastchina@hotmail.com  blog:blog.csdn.net/fbysss声明:本文由fbysss原创,转载请注明出处关键字:tomcat监控 probe一、简介psi-probe是lambdaprobe的一个分支版本,用于对Tomcat进行监控,比tomcat的manager强大很多。psi就是一个形如叉子的符号Ψ,希腊字母的第23个字母,用来代表fork。为啥需要分支呢,因为lambdaprobe已经多年没有更新(大致在2006年就停止发布新版本
什么是 CSRF 攻击?
学亮编程手记
11-19 35
在一个典型的CSRF攻击中,攻击者会构造一个恶意网站(或者通过其他方式诱使用户访问恶意网站),并在该网站中包含一个针对目标网站的请求。由于用户已经在目标网站上进行了认证,浏览器会自动在请求中包含相应的凭证(如Cookie),从而使该请求看起来像是用户自己发送的。CSRF(Cross-Site Request Forgery)攻击(也被称为Session Riding或One-Click攻击)是一种Web安全漏洞,指的是攻击者通过利用用户当前已经认证的会话在用户不知情的情况下执行非授权操作。
Jboss迁移到Tomcat之手记(四)-DWR
weixin_34395205的博客
11-14 167
在JBoss上用的是DWR 2.0, lib里有dwr20.tld, dwr-2.0.1.jar,转到Tomcat 7后,总是在DWR调用处出现session error,无法成功。我初步猜测是不是DWR跟这么新的Tomcat不兼容,所以就升到DWR 3.0(dwr3.0.jar),结果DWR调用处出现CSRF Security Error,网上一查,才...
csrf绕过Referer技巧-01
09-15
CSRF绕过Referer技巧详解 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以通过构造恶意页面诱骗用户执行非法操作。为了防御CSRF攻击,Web开发者通常会使用Referer头来判断...
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
9、CSRF原理.pdf
10-15
CSRF攻击原理 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击类型,它利用用户对网站的信任,通过欺骗用户浏览器,执行非法操作。以下是CSRF攻击的原理和防御方法: CSRF攻击原理 1. 用户...
ROS安装配置与语法介绍文档、ROS代码文档、树莓派与ROS结合使用等相关文档
最新发布
07-08
ROS安装配置与语法介绍文档、ROS代码文档、树莓派与ROS结合使用等相关文档
2003-2023年飞机航线信息数据.xlsx
07-08
2003-2023年飞机航线信息数据 1、时间:2003-2023年 2、来源:高铁航线数据库(Chinese High-speed Rail and Airline Database,CRAD) 3、指标:起点城市、起点城市所属地级市、起点城市所属省份、起点机场、终点城市、终点城市所属地级市、终点城市所属省份、终点机场、航空公司、更新日期、航班、出发时间、到达时间、准点率、班次_周一、班次_周二、班次_周三、班次_周四、班次_周五、班次_周六、班次_周日
Xilinx Vitis 2020工程源目录修改
07-08
Xilinx Vitis可以做standalone程序开发,不过其工程中使用的路径为绝对路径。工程更换位置后编译将会显示错误。例如:源目录为D:/work,复制到同事电脑上放到C:/work(同事电脑只有一个C盘)。利用Vitis打开工程编译会有一堆错误,提示文件找不到。本脚本用来解决该问题。
1000__gpt_4_prompts.md
07-08
1000__gpt_4_prompts
CSRF课程.pdf
01-25
CSRF课程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值