Web安全 -- CSRF漏洞

最新推荐文章于 2023-12-11 16:26:52 发布
最新推荐文章于 2023-12-11 16:26:52 发布
阅读量781 收藏 2
点赞数 2
分类专栏: web安全 文章标签: session 漏洞 安全 web csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/redBu1l/article/details/78763764
版权

图片 1.png

序言

今天继续给大家讲前端漏洞,今天介绍的是csrf这个漏洞与xss漏洞的恩怨情仇,别看这两个漏洞只差几个字符,但他们的区别可是天差地别。

Csrf漏洞

CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

Csrf漏洞分析

成因

其实说白了,csrf漏洞的成因就是网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要是访问这个网站,都会默认你已经登录的状态。而在这个期间,攻击者发送了构造好的csrf脚本或包含csrf脚本的链接,可能会执行一些用户不想做的功能(比如是添加账号等)。这个操作不是用户真正想要执行的。

危害

攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号࿰

最低0.47元/天 解锁文章
redBu1l
关注
专栏目录
常见WEB漏洞整理-CSRF
06-11
适合由于初学者进行框架了解,和大师傅们进行回顾
CSRF漏洞简介
最新发布
记录学习
05-08 986
csrf漏洞的原理,分类,防护及绕过方法
CSRF漏洞简单理解
u012903926的专栏
10-19 6446
http://www.h3c.com.cn/About_H3C/Company_Publication/IP_Lh/2012/04/Home/Catalog/201208/751467_30008_0.htmCSRF漏洞简介 CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从
csrf攻击原理与解决方法_CVE-2019-7609 Kibana远程代码执行漏洞攻击方法和漏洞原理分析...
weixin_39669133的博客
11-23 145
0×00 前言本漏洞的exp放出来快一星期了,目前网上的分析文章也出了几篇,但是大都集中于通过容器简单复现攻击过程,没有深入的分析产生原因和exp的构造原理。笔者借鉴了大牛Michał Bentkowski,也就是漏洞发现者的博客上的英文ppt(参考链接3),写了这篇文章。本文详细介绍了在本地搭建了模拟攻击环境的过程(非docker搭建),并完整分析了这个漏洞的攻击原理。现在分享给大家。0×01 ...
WEB安全入门:如何防止 CSRF 攻击?
AzulSystems的博客
02-19 1478
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。
webmin中CSRF漏洞(CVE-2021-31760)
FODKING的博客
11-26 1038
漏洞CSRF漏洞webmin是可以管理你的web服务器,攻击者可通过CSRF漏洞,远程执行代码,获取信息及控制服务器。 项目场景: 项目相关背景:该漏洞CSRF漏洞webmin是可以管理你的web服务器,攻击者可通过CSRF漏洞,远程执行代码,获取信息及控制服务器。 项目搭建: webmin 1.973> 下载webmin http://prdownloads.sourceforge.net/webadmin 安装: [root@linuxtest ~]# tar -zxvf webmi
CSRF漏洞防御-01
09-15
CSRF漏洞防御是一种非常重要的安全机制,它可以防止恶意攻击者对Web应用程序的攻击。CSRF漏洞防御主要包括四种方法:验证码防御、Referer Check防御、Anti CSRF Token防御和Token泄露。 验证码防御 验证码防御是一...
web安全-dvwa实战手
07-05
文件上传:介绍文件上传漏洞是如何允许攻击者上传恶意文件到目标服务器,并探讨可能导致的安全风险和防护方法。 5。SQL回显注入:说明SQL回显注入是一种允许攻击者执行恶意SQL查询漏洞。探讨如何利用该漏洞来访问...
CSRF漏洞利用方法-01
09-15
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web应用安全漏洞,攻击者可以利用CSRF漏洞来欺骗用户浏览器执行恶意操作。本文将介绍四种CSRF漏洞利用方法,分别是链接利用、iframe利用、img标签利用...
h0ffen_pocs:我开发来证明漏洞PoC的集合
05-24
PoC脚本 我开发的脚本集按文件夹划分了一组脚本,以演示对多个漏洞的利用
metronic_v4.5.2
05-23
metronic_v4.5.0 完整版
wyspider:蜘蛛爬网WooYun公共漏洞
05-03
wyspider 使用步骤: pip install scrapy && pip install MySQL-python 把 wyspider.sql 导进数据库 更改 wyspider/settings.py 里的配置 运行 scrapy crawl wooyun 常用配置介绍 选项 说明 START_URLS 爬虫开始的链接 KEYWORDS 关键字,默认为空 DEPTH_LIMIT 爬行深度,默认为0,即无限制 CLOSESPIDER_PAGECOUNT 爬行页面数量限制,默认为0,即无限制 LOG_FILE 日志保存文件 LOG_LEVEL 日志级别,可选 DEBUG/INFO/WARNING/ERROR/CRITICAL 五个级别 USER_AGENT_LIST 爬虫UA列表,可自行修改 DOWNLOAD_DELAY 爬行延时 DEPTH_PRIORITY 默认为深度优先,如需
metronic第12个模板(经典款)
03-07
metronic十二个模板中最为精致的一款模板,页面精美整洁,适用于crm项目的快速开始。
XSS-Html-exploit:进入管理员登录Webguis的简单漏洞
05-21
SnoopDev XSS漏洞利用 用于大规模浏览器控制的“ Repeater”样式XSS后开发工具。 主要是一个PoC,用于显示HttpOnly标志为何不能完全防止通过XSS进行会话劫持。 依存关系: 点安装-r requirements.txt 用法: 要运行该工具,只需使用: python httppwnly.py 对于生产用途,您应运行并配置一个反向代理,该代理将在端口80上提供HTTP,并在端口443上提供HTTPS,并带有正确签名的SSL证书。 借助Lets Encrypt为您提供的域,这是免费的,而且相当简单。 有关更多信息和复制粘贴nginx配置,请参见下面的“反向代理”。 当您运行httppwnly时,将在终端中显示用户“ admin”的随机生成的密码。 此时,在浏览器中访问https:// [您的域] /登录。 登录后,您将可以访问/ dashboard。 为
CSRF漏洞详解
xcxhzjl的博客
11-19 3198
一、CSRF漏洞原理 1、基本原理 CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。 2、流程图 3、条件 ●用户成功登陆了网站系统,能执行授权的功能 ●目标用户访
漏洞复现(CVECVE-2017-9064(csrf漏洞))
FODKING的博客
11-29 3262
实验道具 wordpress <=4.7.4 burpsuite 实验原理 要实施一次csrf漏洞利用必须占据“天时地利人和”,即被攻击方登录了要攻击的网站,且点击了我们伪造的url才会成功。并且漏洞点处请求容易伪造。 实验场景 当管理员用户登录时,点击了攻击者事先构建好的url中的提交按钮时就会被盗取用户。 漏洞存在位置,如图1 图 1 抓包后信息如图29所示 图 2 发现并没有token参数,没有不可预料的认证信息用post方式传递,我们用burpsuite自带的CSRF工具进行构建html
CSRF漏洞原理及攻击方式 防护方法有哪些
白帽黑客鹏哥的博客
12-11 1436
CSRF是一种攻击方式,它利用用户已经登录的浏览器发起恶意请求。攻击者诱导用户点击链接或访问恶意网站,利用用户当前的登录状态,无意中发送请求到受信任的网站。
CSRF漏洞
m0_48654636的博客
12-08 1051
CSRF(Cross-Site Request Forgery),也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。在 CSRF 的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。
Web攻防:GET型CSRF漏洞利用详解
以下是对给定文件中提及的四种GET型CSRF漏洞利用方法的详细解释: 1. 链接利用: 攻击者可以创建一个包含恶意链接的HTML页面,诱使用户点击。当用户点击这个链接时,浏览器会向链接指定的地址发送GET请求,执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值