csrf攻击模拟

最新推荐文章于 2024-08-09 14:09:30 发布
最新推荐文章于 2024-08-09 14:09:30 发布
阅读量7.5k 收藏 6
点赞数 6
分类专栏: S1: Web s2: 软件进阶 S1: Php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stpeace/article/details/80216124
版权
s2: 软件进阶 同时被 3 个专栏收录
1053 篇文章 76 订阅
订阅专栏
S1: Web
133 篇文章 57 订阅
订阅专栏
S1: Php
66 篇文章 9 订阅
订阅专栏

     之前介绍过csrf的攻击原理和防御, 请见"https://blog.csdn.net/stpeace/article/details/53512283", 本文就不再赘述。

 

     最近模拟实践了一番,来简要说说:

      1.  Alice欠Bob 100元钱, 通过银行转账给Bob,  一切合情合理, Alice的浏览器执行的操作是:

http://www.bank.com/transfer.php?from=Alice&money=100&to=Bob

      2.   Cathy想攻击一下Alice,  所以Cathy在自己的浏览器执行:

http://www.bank.com/transfer.php?from=Alice&money=9999&to=Cathy

      显然, Cathy不能得逞, 因为Alice在转账的时候, 银行后台服务器会验证http请求中的cookie信息和身份, 确认是Alice本人, 才能真正执行转账操作(因为Alice输入过银行密码, 所以能确认Alice的身份)

     3. Cathy并不气馁, 就自己制作了一个网页, 访问方法是:http://www.benefit.com/choujiang.php,  用抽奖来吸引眼球,  choujiang.php吐回的内容是:

<html>
<body>
<form method="get" action="http://www.bank.com/transfer.php">
    <input type="hidden" name="from" value="Alice">
    <input type="hidden" name="money" value="9999">
    <input type="hidden" name="to" value="Cathy">
    <input type="button" onclick="submit()" value="Begin Choujiang">
</form>
</body>
</html>

       只要Alice点击了http://www.benefit.com/choujiang.php, 就会在自己的浏览器页面显示一个抽奖按钮。 

       如果Cathy刚给Bob转账完毕, 又点击了这个"Begin Choujiang"按钮, 就相当于Cathy的浏览器发起了如下请求:

http://www.bank.com/transfer.php?from=Alice&money=9999&to=Cathy

       此时, 一场悲剧上演了, 银行后台服务器从http的cookie中识别出确实是Alice在转账给Cathy, 是合理操作。但是,Alice并不知情, 于是9999元流进了Cathy的银行账户。

       本质上, 就是Alice无意中帮Cathy执行了Cathy自己想执行而没法执行的转账操作。

 

       应该说明白了, 有兴趣的朋友可以自己模拟下。

 

 

 

涛歌依旧
关注
专栏目录
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 6978
什么是CSRF攻击,如何防范CSRF攻击
如何防止CSRF攻击?
ccyzq的博客
03-17 4353
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
Flask模拟实现CSRF攻击的方法
09-20
主要介绍了Flask模拟实现CSRF攻击的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
实战:Express 模拟 CSRF 攻击
azl397985856的专栏
02-20 472
CSRF攻击 是前端领域常见的安全问题,概念方面不再赘述,可以参考维基百科。对于这些概念,包括名词定义、攻击方式、解决方案等估计大家都看过不少,但留下印象总是很模糊,要动手操作一番才能加深...
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
最新发布
2401_85773496的博客
08-09 1113
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
模拟CSRF攻击
pan2635376816的博客
07-04 671
一般来说,跨域就是 协议&域名&端口号 有一个不一致就是跨域了,我上面那两个应用端口是不一致的,那不就跨域了吗?谁在阻止跨域?是浏览器处于安全策略阻止非同源请求。事实上,每次跨域请求都是正常发送的,服务端也会正常返回,只是被浏览器拦截了。所以每次请求都会到达服务端。也就是说,至少攻击页面的表单请求是可以发出的,而且由于使用了目标网站认可的cookie,请求会被响应。当浏览器收到服务端响应的数据时,会判断给数据的源和当前页面的源是否同源。针对不同的源,如果后端没有做相应的处理,则会被浏览器过滤。
CSRF攻击模拟
weixin_35754962的博客
01-04 158
CSRF 攻击是一种网络攻击,其目的是在用户不知情的情况下让用户执行恶意操作。攻击者会在用户浏览的网站上嵌入恶意代码,当用户访问该网站时,恶意代码就会自动执行。攻击者可以通过这种方式来窃取用户的敏感信息,或者在用户不知情的情况下购买商品或服务。为了防止 CSRF 攻击,网站可以使用验证机制,例如在用户提交表单时要求输入验证码,或者使用令牌机制来验证用户的身份。 ...
【信息安全】本地环境模拟CSRF攻击
qq_63982199的博客
06-02 589
在本地模拟一次CSRF攻击,实验环境自己搭建,应该算是成功了吧,实现了窃取cookie并验证
burpsuite csrf攻击_CSRF攻击的BurpSuite实战
weixin_42499363的博客
01-11 908
今天做的是CSRF越权攻击,原理是通过在自己网站或者目标网站,通过模拟发包,替客户端发送请求。环境配置考虑其危害性,虽然不是很大,但是考虑到安全问题,所以本次演示需自己搭建实验环境,主要内容是用PHPstudy在本地搭建一个本地网站。下载并安装PHPstudy 寻找CSRF漏洞测试网站域名www.incake.net还是老步骤,注册,点击个人中心。然后进入“发票管理”页面: 此时,发票信息页面内容...
模拟一次CSRF(跨站请求伪造)例子,适合新手
weixin_30512089的博客
03-30 316
GET请求伪造 有一个论坛网站,网站有一个可以关注用户的接口,但是必须登录的用户才可以关注其他用户。 这个网站的网站是www.a.com 有一天有一个程序员想提高自己的知名度,决定利用CSRF让大家关注自己 》》该论坛的目录结构和源码资源 index.html 1 <!DOCTYPE html> 2 <html lang="en"> 3 &lt...
CSRF防御及模拟CSRF攻击
qq_37550440的博客
07-19 1059
防御csrf攻击方式 CSRF Token则是为了防止跨站请求伪造攻击而设计的。在CSRF攻击中,攻击者试图诱使已登录的用户在不知情的情况下执行恶意操作,例如转账或改变账户设置。CSRF Token是一种额外的安全措施,用来确认发起请求的页面是可信任的源。
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
CSRF攻击介绍、模拟、防范
非完美世界
03-21 2179
CSRF攻击Web安全是我们不可忽视的部分,所以了解一下基础的攻击手段的实现和防范,是非常有必要的。 CSRF是什么? 模拟实现CSRF攻击 防范CSRF攻击 Token的实现 什么是CSRF攻击CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意
模拟简单的转账遭到CSRF攻击的示例
infi
03-09 2179
1简介1.1什么是CSRF原理图:CSRF(Cross SiteRequest Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。1.2模拟转账时遭到CSRF攻击1.2.1正常转账流程首先在主页http://localhost:8080/testX...
彻底理解前端安全面试题(2)—— CSRF 攻击,跨站请求伪造攻击详解,建议收藏(含源码)
qq_17335549的博客
01-02 2347
前端关于网络安全看似高深莫测,其实来来回回就那么点东西,我总结一下就是 3 + 1 = 4,3个用字母描述的【分别是 XSS、CSRF、CORS】 + 一个中间人攻击。当然 CORS 同源策略是为了防止攻击的安全策略,其他的都是网络攻击。除了这 4 个前端相关的面试题,其他的都是一些不常用的小喽啰。我将会在我的《面试题一网打尽》专栏中先逐一详细介绍,然后再来一篇文章总结,预计一共5篇文章,欢迎大家关注~本篇文章是前端网络安全相关的第一篇文章,内容就是 CSRF 攻击
如何模拟登陆添加了CSRF保护的网站
weixin_30544657的博客
05-28 278
上次写了篇文章,内容是如何利用WebClient模拟登陆CSRF控制的网站,回复中有人还是不理解,现在另开一篇,打算说说用Python如何来登陆。 开写之前,先说下为什么webrequest不行,常规情况下,我们在利用webrequest的时候,都是如下的形式: 1 string url = "loginurl"; 2 StringBuilder sb = new StringBui...
干货!!学习CSRF跨站请求伪造,看这一篇就够了
kali_Ma的博客
06-28 275
跨站请求伪造CSRF CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。 在XSS危害——session劫持中我们提到了session原理,用户登录后会把登录信息存放在服务器,客户端有一个用户标识存在cookie中,只要用户不关闭浏览器或者退出登录,在其有效期内服务器就会把这个浏览器发送的请求当作当前客户,如果这时候用户被欺骗,使用浏览器打开了某些恶意网址,里面就会包含一些
java 跨站请求伪造攻击_跨站请求伪造(CSRF
weixin_33377571的博客
02-25 753
1. 什么是跨站请求伪造(CSRF)CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者sessionRiding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值