web安全常见漏洞 之CSRF

最新推荐文章于 2022-10-04 18:05:30 发布
最新推荐文章于 2022-10-04 18:05:30 发布
阅读量1.1k 收藏
点赞数
分类专栏: Security 文章标签: web安全 csrf 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quandaquan/article/details/126779725
版权
CSRF(跨站请求伪造)是一种网络攻击方式,允许攻击者通过伪造用户的浏览器请求来执行非授权操作。当服务器未能验证请求来源时,攻击者可利用此漏洞。危害包括用户数据篡改,如密码更改。解决CSRF的方法是生成并验证不可预测的唯一token,将其隐藏嵌入HTML中并在表单提交时验证。确保每次请求都带有正确的token,能有效防止此类攻击。
摘要由CSDN通过智能技术生成

啥是CRSF:简单来说就是服务器把错误的浏览器请求给处理了。这个错误的请求是恶意攻击者想要的

上图所示:用户访问了B服务器(恶意的),返回携带恶意脚本的页面,通过脚本,伪造访问了A,而且A也响应了,但是用户压根不知道。

危害:请求可以伪造,并发送给用户,让他们做一切没打算做的操作,比如更改密码。。。。

成因:

  • 请求没有在服务端验证(token,csrf token)
  • 服务器没有检查是否是用户生成的请求

CSRF tokens

服务器检查唯一的token,然后才处理

 

 解决方案

1. 生成无法重用且不可预知的token

  • 值够大
  • 随机的
  • 唯一的
  • token算法中包含其他的因素,增加复杂度

2. token以隐藏的形式嵌入html

3. 提交表单时验证token

犬大犬小
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
#WEB安全入门系列之CSRF漏洞详解
jklbnm12的博客
06-24 736
WEB安全入门系列之CSRF漏洞详解 一、CSRF介绍 CSRF(Cross-site request forgery) 全称“跨站请求伪造”,也被称为“One Click Attack”或者“Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的
Web系统常见安全漏洞介绍及解决方案-CSRF攻击
m0_54861649的博客
07-28 1330
CSRF跨站请求伪造,全称Cross-siterequestforgery,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRFWeb安全中最容易被忽略的一种攻击方式,但某些时候却能产生强大的破坏性。...
Django 之前端获取 csrftoken 的几种方式以及源码解释(超详细)
她°
06-10 4570
如果是前后端不分离的项目,django 为了防止 XSS 攻击,要求所有 form 表单提交时加上 标签,前端会再 html 中加入一个 input 标签 这个中间件就是来验证 csrf_token 如果没有加,就会出错,这个 token 每次刷新页面时都会刷新,客户在请求时。会再服务器端生成一个 token,然后放在 cookie里面,每次 post 请求都会带上这个 token,去和表单里面的去对比。官⽅⽂档中说到,检验token时,只⽐较secret是否和cookie中的secret值⼀样,⽽不是
Django CSRF Bypass 漏洞分析(CVE-2016-7401)
Fly_鹏程万里
03-16 1105
0x00 漏洞概述 1.漏洞简介 Django是一个由Python写成的开源Web应用框架。在两年前有研究人员在hackerone上提交了一个利用Google Analytics来绕过Django的CSRF防护机制的漏洞(CSRF protection bypass on any Django powered site via Google Analytics),通过该漏洞,当一个网站使用了D...
Web安全-CSRF-基础01
qq_45927819的博客
03-01 1108
CSRF的介绍以及利用方式一、什么是CRSF?二、利用GET请求方式的CSRF漏洞。2.1 场景介绍2.2 登陆2.3 CSRF漏洞利用2.4 CSRF漏洞触发2.5登陆管理员账号并验证三、利用POST请求方式的CSRF漏洞。 一、什么是CRSF? 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法
web基础漏洞CSRF(跨站请求伪造漏洞)
m0_62274649的博客
10-04 1284
一些自己的小总结,有待完善
Django CSRF防护
运维@小兵的博客
01-27 574
文章目录一、CSRF是什么二、CSRF工作原理三、使用CSRF防护机制四、取消CSRF防护机制 参考视频:https://ke.qq.com/course/320021 一、CSRF是什么 CSRF(Cross Site Request Forgery):跨站请求伪造,实现的原理是CSRF攻击者在用户已经登录目标网站之后,诱使用户访 问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 二、CSRF工作原理 Django怎么验证一个请求是不是CS
Web应用程序常见漏洞CSRF的入侵检测与防范
03-01
互联网的安全问题一直存在,并且在可预见的未来中没有消弭的迹象...跨站请求伪造(CSRF)的是Web应用程序一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web2.0技术的应用的背景下,CSRF攻击完全可以在
web中间件常见漏洞总结.pdf
12-14
以下是对这些常见漏洞的详细总结: 1. **SQL注入**:当Web应用未能正确过滤或转义用户输入的数据时,攻击者可以插入恶意SQL语句,从而获取敏感信息、篡改数据甚至完全控制数据库。 2. **跨站脚本(XSS)**:XSS...
常见WEB漏洞整理-CSRF
最新发布
06-11
适合由于初学者进行框架了解,和大师傅们进行回顾
程序员常见WEB安全漏洞2022优秀文档.pptx
11-14
程序员常见WEB安全漏洞2022优秀文档 在这个优秀的文档中,我们将讨论程序员常见Web安全漏洞,包括SQL注入攻击和跨站脚本攻击(XSS)。这两个漏洞都是非常常见Web安全漏洞,对于程序员来说非常重要。 SQL注入...
Web漏洞-CSRF
Eudaemonia_h的博客
02-09 300
Web漏洞-CSRF一、预备概念二、CSRF跨站请求伪造(1)原理(2)需要满足的条件(3)DVWA中的实验(4)防御CSRF 一、预备概念 Cookie:放在客户端 Cookie的两个重要属性:Domain,没有明确指明则默认为当前域名;Path,没有明确指明则默认为当前路径 Session:放在服务端 Token:服务端加密生成的令牌,保存在客户端;比cookie和session的安全性要高 https://www.cnblogs.com/sulanyuan/p/13395940.html 浏览器同源策
Web安全-CSRF
lanyef的专栏
10-21 203
0x01 简介 CSRF(Cross-site Request Forgery),跨站请求伪造。OWASP Top 10 2013、2017都收录了这个漏洞。 原理简单来说就是: 用户登录了某银行站点,浏览信息。 然后被某某广告吸引,点开了另一个站点(恶意站点)。 用户在不知情的情况,点击恶意站点某按钮、链接,如下。 该链接实施转账操作,由于用户登录银行站点的会话有效,在不知...
查看网页中隐藏的csrfmiddlewaretoken
qq_39708579的博客
02-23 5362
若爬取的网页需要登录,并且form data中包含隐藏的csrfmiddlewaretoken信息,如下图:则可以在html源码中按住“ctrl+F”,搜索“csrfmiddlewaretoken”即可复制其value值:...
django中csrf_token原理
janthinasnail的博客
04-14 1821
为防止CSRF攻击,我们需要在html页面加入{% csrf_token %}这样的代码。 但是,当我们打开多个页面的时候,你会发现,每个页面的这个csrfmiddlewaretoken还不一样,如下代码所示: //页面1的部分代码 <input type="hidden" name="csrfmiddlewaretoken" value="aPhlhBx4ellSgZbxDiBYwLqGd8pC3Pt0bkSD7wedsiKAuDIDwIYPh1XdklDmmGcI"> //页面2的部
Web安全CSRF(Token)
weixin_44431280的博客
02-14 3804
CSRFToken Token:令牌,和Session,Cookie一样,都是身份标识,Token通常存在于URL和Cookie中 Token作用: 1,防止表单重复提交 服务端收到客户端发送的Token后,如果和Session中的值相同,此时客户端中session中的Token会更新 2,防止CSRF(跨站请求攻击) 举例: 构造的CSRF,因为Token的原因,所以攻击失败 Token产生过程: 当客户端请求服务端页面时,服务端会生成一个随机数Token存放在Session中,同时也会将sessio
什么是CSRF?可能多数人都不清楚,没事,一起来了解!!!
热门推荐
lajos的博客
06-23 3万+
        CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。        这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户...
接口报403,报CSRF验证失败的问题
aliven1的博客
05-26 1万+
问题定位:后台两个接口重命,走了优先级更高的接口,接口没有过滤CSRF; 一、csrf是什么 CSRF(Cross-site request forgery)跨站请求伪造,是一种常见web安全漏洞,概括地说就是指,攻击者通过浏览器保存的Cookie盗用了你的身份,以你的名义给某个网站发送恶意请求,这些恶意请求包括但不限于发邮件、修改账户信息、购买商品、转账等等,如果这个网站没有防御csrf攻击的话,那么这些恶意请求可能会请求成功,从而泄露了个人的隐私安全和财产安全。怎么样,听着够严重吧。 二、.
带你了解CSRF和XSS(二)
weixin_30762087的博客
04-01 267
什么是CSRFCSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。 CSRF攻...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值