CSRF:你的身边安全吗

最新推荐文章于 2023-09-01 21:11:39 发布
最新推荐文章于 2023-09-01 21:11:39 发布
阅读量617 收藏 2
点赞数 6
文章标签: csrf 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sjp_1996/article/details/115913896
版权

CSRF我们为什么会上当

遵守网络安全法,此文章仅用于网络安全交流学习

CSRF原理及实验

CSRF又称跨站脚本伪造:该攻击方式可以在受害者毫不知情的情况下,以受害者的名义伪造请求,伪造发送给受攻击站点。从而在未授权的情况下执行权限保护的操作。
在这里插入图片描述

危害

通俗的讲就是利用自己的双手杀自己,黑客利用受害者的身份信息,以受害者的名义发送请求,服务器认为这是合法的,服务器无法识别。这样黑客就可以利用你的身份信息,完成非法转账,盗号,支付修改密码,等恶意操作。

例如:恶意修改他人密码,首先他需要有受害者修改密码权限。他伪造一段信息(这段信息模拟用户改密码过程),这就是恶意用户的请求数据,也就是他恶意编造了一段URL诱使受害者点击。

在这里插入图片描述
这段URL可以通过URL短链接生成工具伪装精简形式。下面有具体例子;
恶意用户利用社会工程学,比如:美女荷官在线发牌,一刀9999等。用户点进去就会利用用户身份信息执行黑客精心构造的陷阱。

实验

工具:DVWA、火狐浏览器、BurpSuite
实验一:
打开DVWA,设置安全等级low,点击CSRF模块,可以看到这是一个更改密码功能,输入新的密码,可以看到URL上方地址,显而易见这是更改密码请求URL。
在这里插入图片描述
当有人给你发这段地址,你肯定不会点击。通过URL生成工具,可以看到如下,这样就神不知鬼不觉上当了。
在这里插入图片描述
实验二:
1、在火狐浏览器,打开代理插件FoxyProxy(也可以用其他代理插件),设置127.0.0.1代理。
在这里插入图片描述
2、打开burpsuite进行抓包,将抓取到的数据包转至Repeater,然后在Repeater界面 “右键—>Engagement tools—>Generate CSRF POC”,即可生成POC,如下图
在这里插入图片描述
在这里插入图片描述
此时生成POC,复制到浏览器直接访问,然后把源码拷贝到sublime等HTML文本编辑工具中,做任意的修改。
例如:在Submit提交按钮中更改点击领取888,或者用诱惑性的图片伪造提交按钮等很多手段诱使用户上当受骗。

在这里插入图片描述

基本防护

1、用户在浏览器定时清理cookie信息;
2、不要点击来历不明的文字或图片链接;
3、添加token验证,确保登录用户身份;

后续

希望受益的朋友点赞、关注;一起交流学习互动,共同进步

「已注销」
关注
CSRF:ring-csrf示例
01-28
6. **自定义令牌生成器**:默认情况下,`ring-csrf`使用安全的随机数生成器创建令牌,但开发者也可以提供自定义的令牌生成函数,以满足特定的安全需求。 7. **集成测试**:在编写测试时,为了模拟CSRF保护,我们...
CSRF漏洞以及靶场(史上最详细)
最新发布
qq_34598847的博客
10-17 1212
产生原因:服务器端没有对用户提交的数据进行严格的把控,导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器利用方式:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的原理:攻击者盗用了你的身份,以你的名义发送恶意请求危害:以受害者名义发送邮件,发消息,盗取受害者的账号,甚至购买商品,虚拟货币转账,修改受害者的网络配置(比如修改路由器DNS、重置路由器密码)等等。
跨站请求伪造(CSRF)攻击与防御原理
weixin_58954236的博客
09-01 1462
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。
CSRF漏洞详解,一文看懂CSRF
发哥微课堂
06-12 5939
0x00:CSRF 简述 CSRF(Cross Site Request Forgery,跨站请求伪造),字面理解意思就是在别的站点伪造了一个请求。专业术语来说就是在受害者访问一个网站时,其 Cookie 还没有过期的情况下,攻击者伪造一个链接地址发送受害者并欺骗让其点击,从而形成 CSRF 攻击。 0x01:CSRF 案例 受害者 (A) 登录了某个银行给朋友 (B) 转账,其转账操作发送...
漏洞系列之——CSRF
LizePing_的博客
07-03 351
了解CSRF漏洞描述漏洞等级漏洞危害漏洞检测方法漏洞修复方案 漏洞描述 跨站请求伪造 (Cross-Site Request Forgery, CSRF),也被称为 One Click Attack 或者 Session Riding ,通常缩写为CSRF,是一种对网站的恶意利用。尽管听起来像XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。 漏洞等级 高危 漏洞危害 以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账
CSRF漏洞危害,防御及其dvwa环境下的利用
sun_k的博客
08-08 4776
1.csrf(用户请求伪造) 1.1原理:(攻击者知道重要操作的所有参数)当A用户使用浏览器访问一个带有csrf漏洞的网站时,并且产生了cookie值存储在浏览器中,在用户A不退出网站的前提下,这时候访问用户B(攻击者)构造的的恶意链接,使其服务器以为是用户A的合理请求以达到攻击者想要的请求。 1.2危害:以受害者名义发送邮件,发消息,盗取受害者的账号,甚至购买商品,虚拟货币转账,修改受害者的网络...
anticsrfCSRF预防库的示例用法
02-02
1. **安装库**:你可以通过NuGet包管理器或者.NET CLI安装anticsrf库。在项目中添加依赖后,库的API将可供使用。 2. **生成令牌**:在ASP.NET MVC或ASP.NET Core中,可以在控制器的视图模型中注入`AntiForgeryToken...
csrfCSRF令牌创建和验证背后的逻辑
02-19
CSRF CSRF令牌创建和验证背后的逻辑。 阅读了解更多关于CSRF的信息。 使用此模块可以创建自定义CSRF中间件。 是否正在为使用该模块的最喜欢的框架寻找CSRF框架? 快速/连接: 或 Koa: 或 安装 $ npm install ...
next-csrf:Next.js的CSRF缓解
05-14
next-csrf Next.js的CSRF缓解。 特征 next-csrf实现的缓解模式: 使用 (另请 ) 安装 含纱线: yarn add next-csrf 使用npm: npm i next-csrf --save 用法 设置: // file: lib/csrf.js import { nextCsrf } ...
csrf:Go的CSRF中间件
05-17
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全威胁,攻击者通过诱导用户在不知情的情况下执行非预期的操作,比如在未经授权的情况下更改其账户设置或者进行恶意转账。Go语言作为现代、高效...
CSRF攻击方式及预防准则
PLAIDC的博客
12-29 7571
跨站点请求伪造(CSRF) 是一种攻击类型,当恶意网站、电子邮件、博客、即时消息或程序导致用户的Web浏览器在用户通过身份验证后对受信任的站点执行不需要的操作时,就会发生这种攻击。因此,如果用户通过了站点的身份验证,则站点无法区分合法的授权请求和伪造的身份验证请求。实际上,攻击者使用CSRF攻击,在受害者不知情的情况下,通过受害者的浏览器使目标系统执行某项功能,至少在提交未经授权的事务之前是如此。尽管有许多CSRF预防机制。在某些情况下,它们是无效的,而在其他情况下,很难在特定应用程序中实现或产生副作用。
CSRF详解
不忘初心,护天下安全!
10-07 4362
前言 忽然发现,一直没有好好写一下csrf,所以在这里对其进行总结。 What's CSRFCSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过...
CSRF 攻击的应对之道
sarck3的专栏
02-12 1070
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
CSRF漏洞
weixin_39861994的博客
10-29 1万+
一、CSRF漏洞介绍: CSRF是指利用受害者尚未失效的身份认证信息( cookie、会话 等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下 以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。 CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用 二、CSRF类型: get请求型CSRF 只需要构造URL,然后诱导受害者访问利用。 POST请求型CSRF 构造自动提交的...
CSRF-看似不重要实则是非常危险的,你中招了嘛?攻击与防御
老余的博客
11-29 795
概述 CSRF是Cross Site Request Forgery的缩写,中文是跨站点请求伪造;接下来将和大家分享这种攻击的原理、实施的方法、以及防御的几种方案; CSRF攻击的原理 通过在恶意网站部署好攻击代码和相关数据,然后引导目标网站的已经授权的用户进入恶意网站,由于浏览器已经获得了目标网站的用户授权票据,因此恶意网站就可以执行“事先”部署好的代码向目标网站提交数据使目标网站执行一些...
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
什么是CSRF?可能多数人都不清楚,没事,一起来了解!!!
lajos的博客
06-23 3万+
        CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。        这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户...
web安全CSRF漏洞说明
anquanniu的博客
07-25 530
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 一个典型的CSRF攻击有着如下的流程: 受害...
web漏洞之CSRF
小白的博客
09-26 149
文章为本人学习笔记,仅供参考 跨站请求伪造 CSRF 是一种诱骗受害者提交恶意请求的攻击。它继承了受害者的身份和特权以代表受害者执行不需要的功能 如果受害者对该站点进行了身份验证,该站点就无法识别请求是否合法能够更改服务器状态或数据的业务或功能,更改受害者邮件地址,密码,购买商品等 漏洞成因 网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,浏览器就会默认用户是登录状态 在这个期间,攻击者想用户发送了构造好的csrf脚本或包含csrf脚本的链接,并且诱导用户执行或访问,.
防止XSS与CSRF:理解与安全测试策略
本文主要探讨了两个重要的网络安全问题:不安全的对象引用以及如何防止XSS(跨站点脚本)和CSRF(跨站请求伪造)攻击。这两种攻击都是针对Web应用程序的安全漏洞,可能导致用户数据泄露、账户被操纵以及其他恶意活动...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值