csrf原理及利用

最新推荐文章于 2024-05-08 10:16:25 发布
最新推荐文章于 2024-05-08 10:16:25 发布
阅读量367 收藏 1
点赞数
文章标签: 安全 web安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54030686/article/details/121332643
版权

csrf原理服务端未对用户请求来源校验,导致漏洞的出现
csrf 不要获取目标cookie,在目标登录相关网站拥有cookie时,使用此漏洞可以在指定网站使用目标cookie完成某些操作
具体实现(在没有token,refer验证前提下)
在修改账号密码(增加用户)页面中,uname,password可以将网页连接更改如下
http://192.168.0.1/genggaimima.php?uname=a&password=b
可以隐藏在html任意标签中
在钓鱼链接中插入此语句即可成功将目标在192.168.0.1网站的账号密码更改为a,b
csrf与存储型xss区别
csrf不需要获取目标cookie,直接利用即可,更改密码或者修改金额等操作,危害较小
存储型xss
获取管理者cookie,登录后台,危害较大
预防
采用随机校验码token对请求来源进行校验
利用使用burpsuit右键生成页面,利用cs插入钓鱼页面中,诱导目标点击

天下是个小趴菜
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
9、CSRF原理.pdf
10-15
CSRF攻击原理 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击类型,它利用用户对网站的信任,通过欺骗用户浏览器,执行非法操作。以下是CSRF攻击的原理和防御方法: CSRF攻击原理 1. 用户...
第一节 CSRF原理介绍-01
09-15
CSRF漏洞原理利用目标用户的合法身份,以目标用户的名义执行某些非法操作。例如,攻击者可以构造恶意链接,例如:http://www.xxx.com/pay.php?user=恶意用户&money=100000。这样,当用户点击该链接时,攻击者可以...
CSRF简单介绍及利用方法
weixin_33980459的博客
10-27 349
x00 简要介绍 CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无token/referer限制,导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP请求方式,CSRF利用方式可分为两种。   0x01 GET类型的CSRF 这种类型的CSRF一般是由于程序员安全意识不强造成的。GET类型的CSRF利用非常简单,只需要一个HTTP请求...
一次简单的CSRF利用
sGanYu
08-14 1053
CSRF全称Cross-site request forgery(跨站请求伪造),也被称为 one-click attack。通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任,一个是盗取cookie,一个是利用cookie
CSRF攻击原理介绍和利用-腾讯云开发者社区
最新发布
程序员阿飘 的博客
05-08 748
CSRF是什么?答:CSRF()跨站请求伪造,也被称为或者,是一种广泛存在于网站中的安全漏洞缩写为CSRF/XSRF。CSRF则通过伪装来自受信任用户的请求来利用受信任的网站,与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性,但往往同XSS一同作案!如何理解你可以这么理解CSRF攻击?“攻击者盗用了你的身份,以你的名义发送恶意请求”,CSRF是一种依赖web浏览器的、被混淆过的代理人攻击,往往涉及到个人隐私泄露以及财产安全
(29.1)【CSRF详解】CSRF原理利用过程、分类、举例、工具……
04-06 9659
一个细节都不不想放过
Web安全CSRF漏洞利用(pikachu)
weixin_44431280的博客
04-06 6676
Web安全CSRF漏洞利用 前言:此篇文章主要记录pikachu靶场漏洞中三种模式的CSRF漏洞的利用,此处不对基本原理进行过多赘述,基础可参考文章:Web安全—跨站请求伪造攻击(CSRF) 漏洞利用场景:攻击者伪造一个正常的请求(通常是一个链接),诱导用户点击,从而在受害者不知情的情况下以受害者的身份去修改用户已经登陆的网站信息。 一:CSRF(GET)用户通过表单提交的数据显示在URL中 1,用户使用账户登录网站,本地生成cookie等身份认证信息 2,黑客登陆网站,抓取网站修改功能的数据包参数
网站安全CSRF***
weixin_34192993的博客
12-14 117
.CSRF是什么?CSRF(Cross-siterequest forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CSRF可以做什么?  你这可以这么理解CSRF***:***者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账...
django框架CSRF防护原理与用法分析
12-31
攻击者利用了你的身份,以你的名义发送恶意请求,比如:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账等。 如果想防止CSRF,首先是重要的信息传递都采用POST方式而不是GE
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)...
csrf绕过Referer技巧-01
09-15
本文将详细介绍CSRF绕过Referer技巧,包括Referer防御CSRF原理、Referer防御代码编写、绕过Referer技巧和Burpsuite自动生成POC。 一、Referer防御CSRF原理 HTTP Referer是header的一部分,当浏览器向Web服务器发送...
一段csrf利用代码
一个码农的笔记
09-09 1683
function test() { document.getElementById("myform").submit(); } 上面是利用post形式进行传递参数 下面是get方式进行传递参数 为了让上面的代码更具有隐蔽行,把上面的代码保存成1.html,然后下面用框架包含,并且把框架长,宽都设置成0,这样就能杀人于无形了
csrf 功能 及 csrf装饰器使用
anzhilan7823的博客
07-01 445
目录 csrf 功能 及 csrf装饰器使用 简单了解csrf 防范措施 了解更多csrf点击 django 中 csrf csrf装饰器 csrf功能(执行流程) csrf 功能 及 csrf装饰器使用 简...
CSRF详解及其利用方式(get方式)
读书 买花 长大
11-28 1828
CSRF-csrf
CSRF漏洞利用介绍
热门推荐
星落的博客
06-02 1万+
CSRF漏洞介绍 CSRF:跨站请求伪造,也称为One Click Attack 缩写为CSRF CSRF漏洞代码分析 <?php //会话验证 $user =$_GET["user"]; $money=$_GET["monkey"]; //转账操作 ?> http://1270.0.1/pay.php?user=heike&monkey=10000 我们把这个链接发给受害人,受害人点击后,就会把受害人的钱发给我们。 CSRF自动化探测 ...
CSRF
chjunjun的博客
09-27 617
CSRF,即 Cross Site Request Forgery,中译是跨站请求伪造,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。 简单来说,攻击者盗用了你的身份,并以你的名义发送恶意请求。 通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操...
csrf验证机制
varyall的专栏
01-19 844
CSRF(跨站请求伪造) CSRF 英文全称为 Cross SIte Request Forgery CSRF 通常指恶意攻击者盗用用户的名义,发送恶意请求,严重泄露个人信息危害财产的安全 CSRF攻击示意图 解决CSRF攻击 使用csrf_token校验 1.客户端和浏览器向后端发送请求时,后端往往会在响应中的 cookie 设置 csrf_token 的值,可以使用请求钩子实现,...
CSRF漏洞的概念、利用方式、防御方案
好好睡觉
03-19 3497
CSRF漏洞的概念,利用方式、防御方案
CSRF小结
0nc3的博客
03-29 341
1.漏洞原理 攻击者通过伪造web页面,骗取已登录用户在不知情情况下进行操作。 2.分类 按请求分为:get型、post型 按攻击方式,可分为 :HTML CSRF、JSON HiJacking、Flash CSRF 等。 3.检测方法 正常页面数据包HTTP消息头中有无referer字段,返回的页面是一样的 4. 防御方法 检测referer字段 生成随机token 使用验证码 输入原密码确认...
csrf漏洞利用原理
09-26
CSRF漏洞利用原理是攻击者利用受信任用户的身份,通过伪装成受信任的用户发送恶意请求来攻击受信任的网站。攻击者会诱使受害者访问包含恶意代码的页面,当受害者在登录状态下访问攻击者控制的页面时,恶意代码会自动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值