跨站点请求伪造解决方案

最新推荐文章于 2024-07-25 09:37:56 发布
最新推荐文章于 2024-07-25 09:37:56 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: Web安全 文章标签: 网络攻击 安全 CSFR 跨站点请求伪造 AppScan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdbwlr/article/details/52053632
版权

近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。

前一篇博客介绍了启用了不安全的HTTP方法的解决方案,有兴趣请移步启用了不安全的HTTP方法解决方案

1.跨站点请求伪造

首先,什么是跨站点请求伪造?

跨站点请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。

说的白话一点就是,别的站点伪造你的请求,最可怕的是你还没有察觉并且接收了。听起来确实比较危险,下面有个经典的实例,了解一下跨站点请求伪造到底是怎么是实现的,知己知彼。

受害者:Bob
黑客:Mal
银行:bank
bob在银行有一笔存款,可以通过请求http://bank.example/withdraw?account=bob&amount=1000000&for=bob2把钱转到bob2下。通常情况下,该请求到达网站后,服务器会验证请求是否来自一个合法的session,并且该session的用户Bob已登录。Mal在该银行也有账户,于是他伪造了一个地址http://bank.example/withdraw?account=bob&amount=1000000&for=mal,但是如果直接访问,服务器肯定会识别出当前登录用户是mal而不是Bob,不能接受请求。于是通过CSRF攻击方式,将此链接伪造在广告下,诱使Bob自己点这个链接,那么请求就会携带Bob浏览起的cookie一起发送到银行,而Bob同时又登录了银行或者刚刚登录不久session还没有过期,那服务器发现cookie中有Bob的登录信息,就接收了响应,攻击就成功了

2.现在主要的几种防御CSRF的策略:

1. 验证Referer:

referer携带请求来源,从示例可以看出,受害者发送非法请求肯定不是在银行的界面,所以在服务器通过验证Referer是不是bank.example开始就可以了,这个方法简单粗暴。

最简单的实现就是加个Filter:


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  Rhys_Lee
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
java如何解决跨站请求伪造_跨站请求伪造(CSRF)

				
			

			

				

					weixin_39620001的博客
				

				

					02-13
					
					2063
					
				

			

		

		

			
				
一、前言跨站请求伪造(Cross-SiteRequest Forgeries, CSRF),是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击;有如下危害:1、利用已通过认证的用户权限更新设定信息;2、利用已通过认证的用户权限购买商品,虚拟货币转账;3、利用已通过认证的用户权限在留言板发表言论;二、攻击原理:第一步:验证用户访问存在CSR...

			
		

	



                

              
                



	

		

			

				
					
Tomcat怎样防止跨站请求伪造(CSRF) 1

				
			

			

				

					08-08
				

			

		

		

			
				
Tomcat 防止跨站请求伪造(CSRF)机制浅析  在 Web 应用开发中,跨站请求伪造(CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...

			
		

	



                


  
              

                


	

		

			

				
					
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie和跨站请求伪造

				
			

			

				

					qq_43613949的博客
				

				

					06-19
					
					674
					
				

			

		

		

			
				
Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie和跨站请求伪造@

			
		

	





	

		

			

				
					
跨站请求伪造的处理方法

				
			

			

				

					每天学习一点点
				

				

					05-28
					
					4926
					
				

			

		

		

			
				
使用安全软件对网站扫描后报出“跨站请求伪造”的漏洞。




			
		

	



		

			
		



	

		

			

				
					
跨站请求伪造解决方案

				
			

			

				

					我这个代码你能看懂吗?
				

				

					07-16
					
					289
					
				

			

		

		

			
				
防止CSRF攻击的方法有很多,最常见和有效的方法是使用CSRF令牌。其他方法如验证HTTP Referer头、使用SameSite Cookie属性和双重提交Cookie也可以作为辅助措施。根据具体的应用场景和需求,可以选择一种或多种方法来保护你的应用免受CSRF攻击。

			
		

	





	

		

			

				
					
java如何解决跨站请求伪造_AppScan漏洞扫描之-跨站请求伪造

				
			

			

				

					weixin_39675178的博客
				

				

					03-08
					
					690
					
				

			

		

		

			
				
解决方案:增加一个过滤器,当请求头Referer中包含扫描里的http://bogus.referer.hcl.com时,禁止访问/******************************************************************************** @(#)CSRFilter.java 2020/4/7** Copyright 2020 emrubik...

			
		

	





	

		

			

				
					
java如何解决跨站请求伪造_ASP.NET Core中防跨站请求伪造

				
			

			

				

					weixin_30837611的博客
				

				

					03-08
					
					166
					
				

			

		

		

			
				
CSRF(Cross-site request forgery)利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。例子在某个论坛管理页面,管理员可以在list页面执行删除帖子操作,根据URL判断删除帖子的id,像这样的一个URLhttp://localhost/list?action=delete&id=12当恶意用户...

			
		

	





	

		

			

				
					
跨站请求伪造(CSRF)

				
			

			

				

					onion的博客
				

				

					09-07
					
					736
					
				

			

		

		

			
				
是什么?
  CSRF攻击指诱使用户访问伪造的页面,然后以该用户身份在第三方站点执行一次操作,CSRF攻击是利用用户身份操作用户账户的一种攻击方式。
怎么办?
验证码:CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求。验证码则强制用户必须与应用进行交互,才能完成最终请求。因此在通常情况下,验证码能够很好地遏制CSRF攻击,但该防御方式用户体验较差;
Referer Check防盗链:可...

			
		

	





	

		

			

				
					
跨站请求伪造

				
			

			

				

					记录或发现工作问题,予以解决
				

				

					04-15
					
					4308
					
				

			

		

		

			
				
安全报告中会提示vue打包后的js文件,可以通过模拟请求头的文件进行发送请求,才从而变得不安全,为了防止这种事情发生,需要通过nginx的代理进行控制除了服务器的ip以及baidu的ip地址,其余的模拟请求地址不允许访问该js文件。

			
		

	





	

		

			

				
					
php 跨站请求伪造,PHP 跨站请求伪造及防护 (CSRF)【未完成】

				
			

			

				

					weixin_39778447的博客
				

				

					03-24
					
					263
					
				

			

		

		

			
				
一、什么是 CSRF跨站请求伪造(Cross-Site Request Forgery),通常缩写为 CSRF 或者 XSRF,是一种使已登录用户在不知情的情况下执行某种动作的攻击。二、CSRF请求过程CSRF在违反同源策略的情况下,攻击主要用来执行某种非法动作,而非窃取用户数据。例如,当受害者是一个普通用户时,CSRF可以实现在其不知情的情况下进行转移用户资金、发送邮件等操作。但是如果受害者是一...

			
		

	





	

		

			

				
					
【已解决】跨站请求伪造

				
			

			

				

					专注于Java领域开发 关注我 带你玩转Java
				

				

					06-16
					
					3158
					
				

			

		

		

			
				
解决跨站请求伪造

			
		

	





	

		

			

				
					
CSRF(跨站请求伪造)详细说明

				
			

			

				

					02-26
				

			

		

		

			
				
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...

			
		

	





	

		

			

				
					
防止伪造跨站请求

				
			

			

				

					03-26
				

			

		

		

			
				
标题中的“防止伪造跨站请求”指的是Web应用安全领域中的CSRF(Cross-Site Request Forgery,跨站请求伪造)防护。CSRF攻击是利用用户的已登录状态,诱使用户在不知情的情况下执行非预期的操作,例如转移资金、更改...

			
		

	





	

		

			

				
					
cross-application-csrf-prevention:正确执行跨站请求伪造预防

				
			

			

				

					05-15
				

			

		

		

			
				
本文档概述了在Rails内置的跨站请求伪造预防机制中发现的问题,并包含可缓解上述问题的反CSRF解决方案的设计规范。 动机 在调查CSRF令牌相关的错误时,我们发现Rails中实现的CSRF预防机制存在一些问题。  Rails ...

			
		

	





	

		

			

				
					
Ajax请求WebService域问题的解决方案

				
			

			

				

					12-10
				

			

		

		

			
				
在实际项目中,还需要关注安全性,防止跨站请求伪造(CSRF)等攻击。同时,通过阅读与Ajax、WebService、域相关的文章和示例代码,可以进一步提升对这些技术的理解和应用能力。例如,了解如何使用jQuery的Ajax方法...

			
		

	





	

		

			

				
					
极速下载!青苹果系统Win7旗舰版:稳定安全

				
			

			

				

					lihuiyun184291的博客
				

				

					07-25
					
					426
					
				

			

		

		

			
				
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。

			
		

	





	

		

			

				
					
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考

				
			

			

				

					lupai的博客
				

				

					07-24
					
					496
					
				

			

		

		

			
				
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。

			
		

	





	

		

			

				
					
2024安全大模型技术与市场研究报告

					
最新发布

				
			

			

				

					cybtec的博客
				

				

					07-25
					
					463
					
				

			

		

		

			
				
2024安全大模型技术与市场研究报告

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值