csrf攻击解读与防御

最新推荐文章于 2024-02-22 22:33:36 发布
最新推荐文章于 2024-02-22 22:33:36 发布
阅读量214 收藏
点赞数
分类专栏: 应用 文章标签: crsf、攻击、防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ruoshui617/article/details/84701109
版权

1、csrf攻击的解读

      csrf(cross-site request forgory)中文全程跨站点请求伪造。攻击者盗用你的身份,以你的名义恶意发布请求。这个问题是很严重,可能会泄露你的个人隐私,更甚至于财产的安全。

2、crsf攻击的原理(模拟用户操作)

      (1)用户A浏览并登录信任的网站A

      (2)验证通过,并返回一个cookie给用户A的浏览器

      (3)用户在没有登出的情况下,访问网站B

      (4)网站B页面嵌有访问网站A的请求

      (5)应网站B的请求,浏览器带着网站A返回的cookie访问网站A

      (6)网站A不知道这是网站B盗用用户A的信息提出的请求,就处理了,达到了模拟用户操作的要求

3、crsf防御 

  (1)方案一:

            a、服务器在cookie中添加一个变量,并赋值一段字符串

            b、页面获取字符串,并通过隐藏的方式将该字符串传递给后台

            c、服务器判断有无字符串

         结论:有字符串,说明不是模拟的,没有则说明是crsf攻击

         备注:安全系数很高,但是还是有点点隐患,这段字符串可能被盗

    (2)方案二:(验证码)

            要提交的页面通过验证码进行验证

    (3)方案三:在页面生成密码,传给后台作处理

ruoshui617
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全】CSRF漏洞详细解读
你在看屏幕的同时,屏幕也在注视着你
05-22 1724
CSRFCSRF介绍1.什么是CSRF2.CSRF漏洞危害二 CSRF的三种漏洞1.GET类型CSRF2.POST类型CSRF3.Token类型CSRF三 靶场演示四 CSRF漏洞修复方法修复方案(1)验证http referer字段(2).在请求地址中添加token并验证(3)在http头中⾃定义属性并验证(4)其他防御⽅法五 小结 一 CSRF介绍 1.什么是CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Se
SpringBoot 通过拦截器验证Referer 防御CSRF攻击
热门推荐
哎幽的成长
10-10 1万+
问题: **CSRF概念:**CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为...
不同于Token和Refer头校验的另一种CSRF防御办法
18年3月萌新白帽子
12-24 2345
        事情的情况是这样的,前段时间在工作中发现XX系统存在CSRF漏洞,我在数据包内并未看到对应的Token参数,测试Refer头后发现XX系统并未对请求来源(refer)进行相关校验。我便认为此处存在CSRF漏洞并将该漏洞发送给了XX系统的相关负责人。 但是过了几天后XX系统的负责人发来一份反馈邮件,邮件说他们系统做了CSRF校验但用的不是Token也不是Refer。而是如下方法: ...
通过验证Referer解决CSRF安全防御问题
向南
09-26 5336
一、背景 JAVAWEB 类项目处于客户验收阶段,在安全扫描处出现 CSRF 问题,通过多个博客中解决思路都无法解决。后来通过同事提醒 可以试试判断 Referer页面来源参数,最终使用该方法解决问题。 二、环境 服务器:Linux 前端:Angular 后端:Springboot Java 三、安全证书 四、解决方法 后端拦截器判断访问来源,其它地方不用修改。 @...
CSRF攻击介绍及常用防御手段
yinn
09-22 9376
什么是CSRF攻击CSRF(跨站点请求伪造),就是攻击者诱使用户访问了一个页面,以该用户身份在第三方站点里执行相关操作。 比如:登陆了sohu博客后,只需要请求这个url,就能够吧编号为“156713012”的博客文章删除 http://blog.sohu.com/manage/entry.do?m=delete&id=156713012 攻击者首先在自己的域构造一
csrf攻击与防护—2用flask简单演示防范csrf攻击之referer
ACBC12345的博客
12-06 646
接上篇 csrf攻击与防护—1用flask简单演示csrf攻击 以下是根据referer字段防止csrf攻击的新代码: bank.py from flask import render_template, Flask, request, jsonify, make_response app = Flask("haha") YOUR_BANK_COUNT = 1000000000 TOKEN = "0ofjsfnnfgxgxgxgreituto" @app.route("/") def root():
CSRF攻击
大草的博客
07-04 1237
CSRF的实验内容,仅为原理说明,不谈论&不涉及任何网络攻击
Python学习笔记:6.3.11 csrf攻击与防范
元文的博客
02-17 378
简介:讲解了什么是CSRF、flask中如何使用表单的CSRF保护以及AJAX的CSRF保护等内容
保护你的Web应用——CSRF攻击防御
m0_70911440的博客
02-22 930
CSRF攻击对Web应用的安全构成了严重威胁,但通过选择合适的防御策略和技术,我们可以降低受到攻击的风险。而CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击是一种常见的安全威胁,通过利用受信任用户的身份进行恶意操作,威胁到用户的账户和数据安全。本文将介绍CSRF攻击的原理和行为方式,并提供一些常用的防御策略和技术,以帮助你保护Web应用免受CSRF攻击。定期更改用于生成CSRF令牌的密钥,并要求用户定期更改其口令,以减少攻击者利用已泄露的口令进行CSRF攻击的风险。
BurpSuite手册-050-Burp Suite options.pdf
12-28
《Burp Suite手册-050-Burp Suite options.pdf》深入解读 Burp Suite是一款强大的Web应用程序安全测试工具,其丰富的功能集为黑客攻击测试提供了全面的支持。本手册主要涵盖了Burp Suite的一系列常用功能及其配置...
XSS
03-13
- 跨站请求伪造(CSRF):XSS可以作为CSRF攻击的载体,发起对用户的非预期操作。 为了防御XSS攻击,开发者应采取以下措施: 1. 对用户输入进行严格的过滤和转义,避免恶意脚本执行。 2. 使用HTTP头部的Content-...
.net Cookies安全性实践分析
10-29
- 使用CSRF令牌:防止非自主的HTTP请求,如通过恶意链接发起的攻击。 - 输入验证:对用户提交的数据进行验证,防止注入攻击。 - 敏感数据加密:即使Cookie被截取,加密后的数据也无法直接解读。 总结来说,.NET ...
WiKi:稻草人安全团队漏洞库
08-04
CSRF攻击则利用了网站的信任用户机制,攻击者诱使用户在不知情的情况下执行有害操作,如转账、更改个人信息等。 WiKi-main可能包含以下部分: 1. **漏洞分类**:详细划分各种类型的漏洞,如SQL注入、XSS、CSRF、...
OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险.zip
11-04
8. **跨站请求伪造(CSRF)**:CSRF攻击利用受害者的身份执行非授权操作,例如在银行网站上进行转账,因为浏览器不会区分用户自己发起的请求还是攻击者发起的请求。 9. **使用易受攻击的组件**(Using Components ...
大数据技术分享 Spark技术讲座 荷兰铁路的预测性维护 共32页.pdf
最新发布
07-18
大数据技术分享 Spark技术讲座 荷兰铁路的预测性维护 共32页.pdf
计算机控制技术复习题.doc
07-18
计算机
Python人工智能课程 AI算法课程 Python机器学习与深度学习 12卷积神经网络 共76页.pdf
07-18
【内容大纲】 1.Python与数学基础 共83页.pdf 1.矩阵和线性代数_Python 共90页.pdf 2.概率论与数理统计 共89页.pdf 3.数据清洗和特征选择 共16页.pdf 4.多元回归与逻辑回归 共69页.pdf 5.决策树随机森林 共91页.pptx 6.支持向量机 共70页.pdf 7.聚类 共88页.pdf 8.EM算法 共66页.pptx 9.HMM 共80页.pptx 10.主题模型 共78页.pdf 11.卷积神经网络 共76页.pdf 12.目标检测算法 共47页.pdf 12卷积神经网络 共76页.pdf 13.RNN 共47页.pptx 14.NLP技术分享 自然语言处理技术课程 共184页.pdf 15.GAN网络 共25页.pdf 15.GAN源代码讲解及GAN项目介绍 共24页.pdf 16.强化学习-课件 共125页.pdf
告门诊统筹电子处方流转平台落地处方外流迎新高度.pdf
07-18
告门诊统筹电子处方流转平台落地处方外流迎新高度
"深入了解CSRF攻击防御
与跨站脚本攻击(XSS)相比,CSRF是利用用户身份进行操作,而XSS则是注入恶意脚本来执行操作。 CSRF课程.pdf是一门全面讲解CSRF的课程,课程主要包括CSRF的概念和介绍、攻击方法、预防措施等内容。学生学习这门课程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值