CSRF(跨站脚本请求)

最新推荐文章于 2024-03-14 09:57:20 发布
最新推荐文章于 2024-03-14 09:57:20 发布
阅读量746 收藏 9
点赞数 9
分类专栏: # WEB攻防 文章标签: csrf web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58528311/article/details/135038656
版权

一、漏洞原理

CSRF(Cross-Site Request Forgery)是一种网络安全攻击,攻击者通过欺骗用户在不知情的情况下发送请求,从而实现对目标网站的操作。

网站管理员(已经登录网站后台)——黑客构造的恶意服务器(是网站的创建用户请求)——成功创建用户

黑客获取某网站中的某个功能请求,比如创建用户,删除用户,修改密码,支付请求,创建文章请求等,把请求构造到自己的服务器上面,然后发送给用户,该用户访问黑客的服务器就会发起支付请求。

二、漏洞利用

靶场:PIkachu

  1. GET请求

复制更改邮箱的请求

构造请求http://172.16.234.196/vul/csrf/csrfget/csrf_get_edit.phphp?sex=girl&phonenum=12345678922&add=usa&email=hello+word%21%21%21%21&submit=submit

用户访问这个请求就会更改邮箱

  1. POST请求

用burp抓取修改邮箱请求

利用burp制作csrf的poc

放在自己的网站上

当用户访问该服务器自动修改服务器

还有两种检测一个就是来源检测:可以删除Referer为空。,还有个就是token检测:重复利用,token值为空

三、漏洞修复

  1. 检测访问来源
  2. 增加检测token
  3. 会话机制操过登录时间自动退出
Plkaciu
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网站攻防之CSRF和XSS跨站脚本攻击
06-04 8038
进入正题之前,先扯一番:黑客本义并非某些人以为的利用网络干坏事的人,刚开始或者说现在的很多,黑客是以技术大牛的形式存在的,也就是在网络领域有一门专场的牛人。有些黑客不干坏事而是干好事,比如利用网站的漏洞,去告诉网站开发运营者你的网站有漏洞,要修补啦,他们却并不会利用这漏洞干坏事,而是以发现漏洞追求技术快感为享受。 说是网站攻防演练,但估计这套东西已经很老很少用了,毕竟作为课程实验的实例都是“经典
第29天:WEB漏洞-CSRF(跨站脚本伪造)和SSRF(服务器端请求伪造)
cailme的博客
07-01 216
渗透测试day29
浏览器原理--跨站脚本攻击(XSS)、CSRF攻击
xuan的博客
06-07 2171
(1) XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。(2)恶意脚本都能做哪些事情(3)恶意脚本是怎么注入的1、在一个反射型 XSS 攻击过程中,恶意 JavaScript 脚本属于用户发送给网站请求中的一部分,随后网站又把恶意 JavaScript 脚本返回给用户。当恶意 JavaScript
CSRF安全漏洞修复
snumous的博客
01-09 1923
CSRF安全漏洞修复
CSRF漏洞的利用及修复
G3et的博客
02-13 1160
CSRF (Cross-Site Request Forgery) 漏洞是一种 Web 应用程序的安全漏洞,它允许攻击者在用户不知情的情况下执行非法操作。CSRF 攻击通过构造恶意请求来发送给受害者,从而实现对受害者帐户的控制。这些请求看起来就像是从用户自己的浏览器发出的,因此服务器会将它们作为正常请求处理。
CSRF跨站请求伪造CSRF PHP demo代码
05-04
`default_05.gif`、`default_06.gif`和`yellow.jpg`是图片资源,它们与CSRF直接关系不大,但它们的存在提醒我们,Web应用的完整性和安全性也包括对静态资源的管理,防止被利用来进行XSS(跨站脚本)或其他攻击。...
CSRF跨站请求伪造实例程序
11-07
如果这些页面中存在JavaScript,而这些脚本没有正确地处理用户输入,攻击者可能会利用XSS(跨站脚本攻击)来配合CSRF,进一步提升攻击效果。 `yinhang.sql`显然是银行数据库的备份文件。攻击者可能会试图获取这个...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,实现CSRF跨站攻击防御是非常重要的。本文将详细介绍...
跨站攻击(XSS+CSRF).docx
01-05
XSS(Cross Site Scripting)攻击是指攻击者通过在网页中插入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而达到窃取用户信息、操纵用户行为等目的。XSS攻击主要分为三种类型: 1. 反射型XSS:这类攻击通常...
php中防止伪造跨站请求的小招式
10-28
在PHP开发中,防止伪造跨站请求(Cross-Site Request Forgery, CSRF)是一项至关重要的安全措施。CSRF攻击允许攻击者在用户浏览器上利用已登录用户的权限执行恶意操作,如发送垃圾邮件、删除数据等。为了抵御这种...
WEB安全漏洞30讲》(第4讲)CSRF漏洞
午夜安全
12-05 3432
CSRF(Cross-site request forgery),跨站请求伪造,简写 CSRF/XSRF。指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。 上文说过了CSRF漏洞不盗取用户身份信息,而是利用用户身份信息去伪装成受信任的用户来发起请求。一般情况下,
CSRF跨站请求伪造漏洞修复
折腾java的博客
06-09 3084
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。 经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......
CSRF跨站请求伪造 漏洞修复
HelloKittyTom的博客
08-25 1037
CSRF跨站请求伪造 漏洞修复 CSRF: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 修复思想: 可以在前端修复也可以在后端修复,一般前端和后端
csrf漏洞修复
枫叶
11-24 213
通过篡改请求头中的Referer值依旧能够访问到接口。
CSRF漏洞原理攻击与防御(非常细)
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
03-14 1557
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1611
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
跨站请求伪造 CSRF 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 980
跨站请求伪造 CSRF 漏洞原理以及修复方法
CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施
tscn1的博客
03-22 1031
这里写目录标题CSRF(跨域请求伪造)原理:防御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS(跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。 原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。 防御 cookie的sameSite
如何防范XSS(跨站脚本攻击)、CSRF跨站请求伪造)
04-14
2. 对输出进行转义,确保不会执行危险脚本。 3. 使用HTTPOnly和Secure标记来保护cookie。 4. 存储敏感信息时,采用加密的方式以防止数据泄露。 对于防范CSRF攻击,可以采取以下措施: 1. 使用随机的、短生命周期的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值