界面安全性系列1-CSRF攻击

最新推荐文章于 2023-12-28 11:01:07 发布
最新推荐文章于 2023-12-28 11:01:07 发布
阅读量490 收藏
点赞数
分类专栏: php Javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dreamtahiti/article/details/51063181
版权

一.CSRF是什么?

  CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

二.CSRF可以做什么?

  你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。

三. CSRF攻击模式图

其实就是在浏览器存了a的凭证,认为通过该客户端过来的访问通过了认证,而B可能是web 可能就是个邮件里面的恶意链接,只要用户访问了,即可以盗用a的凭证干坏事。


四. CSRF防范

1. 服务端csrf token

在服务器端输出页面时候增加一个随机key value的token值,这样所有a网站的页面等于有一个随机参数,这样在a网站提交的所有请求中都要去验证这个参数的正确性。这样B就无法获取到这个随机值,而验证失败,任何提交访问都会返回错误

2. cookie值的md5

这个和1类似,将当前站点cookie,生成的md5传到后台进行验证。这样B无法跨站获取到A的cookie,无法构造出该参数。

3. 验证码

这个就是在任意表单提交都增加验证码功能。B当然就不行了。


总结,当然我推荐1这个方式,而且我们目前网站使用的phalcon框架自带了security csrf token的一系列函数,直接使用方式一

<input id="token" type="hidden" name="<?php echo $this->security->getTokenKey()?>"
               value="<?php echo $this->security->getToken() ?>" />

POST后只需要$this->security->checkToken() 验证这个函数成功即可。

使用ajax也可以带上这个id为token的input框的值。






DreamTahiti
关注
专栏目录
Java Web 应用的安全攻防之 CSRF 漏洞分析
程序员光剑
10-09 794
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one-click attack”或者Session riding,其利用网站对用户浏览器的信任,通过伪装成用户正常操作的动作,达到恶意盗取用户信息、执行违规操作等目的,是一种常用的Web应用安全漏洞。CSRF在很多Web应用中都存在着严重的隐患,攻击者可以盗用用户的登录信息、Cookie等,进而冒充用户进行各种恶意操作。因此,保护用户的个人信息安全、系统安全应首要考虑。
利用burp suite进行CSRF重放攻击
vaeloverforever的博客
12-16 4207
在windows xp系统中配置Damn Vulnerable Web Application (DVWA),借此安装一个web服务器,这个应用程序有若干基于web的漏洞,比如跨站脚本 (XSS), SQL注入, CSRF,命令注入等。 安装步骤 Step 1: 下载并安装XAMPP Step 2: 打开XAMPP Control Panel,开启Apache和MySQL服务 点击”S...
vue+django的csrf攻击问题解决思路
weixin_45866907的博客
08-26 154
vue+django的csrf攻击问题解决思路
浅谈CSRF攻击方式
10-22 257
https://blog.csdn.net/stpeace/article/details/53512283#commentBox 转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:...
CSRF攻击的解决方案
qinheJ的博客
08-09 6604
CSRF 背景与介绍   CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。   然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail...
百度某系统登陆页面跨站及CSRF漏洞
swordheart的博客
04-15 1677
漏洞详情 披露状态: 2010-07-25: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-11: 细节向核心白帽子及相关领域专家公开 1970-01-21: 细节向普通白帽子公开 1970-01-31: 细节向实习白帽子公开 2010-08-25: 细节向公众公开 简要描述: 百度某系统登陆页面存在跨站及CSRF漏洞。 详细说明: http://data.baidu.com:80/report/accounts/checkLogin?
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
最新发布
VN520的博客
12-28 1101
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务器发出请求,用户。
前端安全之CSRF攻击
yleave的博客
07-03 1099
个人博客 文章目录几种常见的 CSRF 攻击:1. GET 类型的 CSRF 攻击2. POST 类型的 CSRF 攻击3. 链接类型的 CSRFCSRF 特点防护策略同源检测几种 Referer 策略CSRF TokenCookie 的 SameSite 属性REF CSRF(Cross-site Request Forgery),跨站请求伪造攻击,简单来说就是攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送请求,并利用受害者在被攻击网站中获取的用户凭证,达到冒充受害者的目的,并使用受害
网络安全初探-CSRF攻击方式&&防御手段
LYFlied的博客
05-19 1461
文章目录一、CSRF二、常见的攻击类型1.GET类型的CSRF2.POST类型的CSRF3.链接类型的CSRF三、CSRF的特点四、防护策略1.同源检测Origin Header和Referer HeaderSamesite Cookie属性2.提交时要求附加本域CSRF Token双重Cookie验证 一、CSRF CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭
Web安全 -- CSRF漏洞
redBu1l的博客
12-10 781
序言今天继续给大家讲前端漏洞,今天介绍的是csrf这个漏洞与xss漏洞的恩怨情仇,别看这两个漏洞只差几个字符,但他们的区别可是天差地别。Csrf漏洞CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XS
前端安全系列-如何防止CSRF攻击
javagty6778的博客
03-07 330
Token是一个比较有效的CSRF防护方法,只要页面没有XSS漏洞泄露Token,那么接口的CSRF攻击就无法成功。但是此方法的实现比较复杂,需要给每一个页面都写入Token(前端无法使用纯静态页面),每一个Form及Ajax请求都携带这个Token,后端对每一个接口都进行校验,并保证页面Token及请求Token一致。这就使得这个防护策略不能在通用的拦截上统一拦截处理,而需要每一个页面和接口都添加对应的输出和校验。这种方法工作量巨大,且有可能遗漏。
CSRF-Request-Builder-master_request.builder_CSRFtester_kitchenvw
09-30
`CSRF-Request-Builder`是Web应用安全测试的利器,它可以帮助开发者和安全专家有效地识别和测试CSRF漏洞,提高网站的安全性。了解并熟练使用此类工具,对于维护互联网的安全环境至关重要。在进行测试时,务必遵守...
【Web 安全】CSRF 攻击详解
weixin_44211968的博客
05-11 1万+
文章目录一、CSRF 简介二、CSRF 原理三、CSRF 的危害四、CSRF攻击类型五、CSRF 的防御1. 验证 HTTP Referer 字段2. 在请求地址中添加 token 并验证3. 在 HTTP 头中自定义属性并验证参考链接 一、CSRF 简介 CSRF(Cross Site Request Forgery,跨站域请求伪造),也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF 。 尽管听起来像跨站脚本(XSS),但它与X
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
weixin_45114101的博客
12-26 2466
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
phalcon经验教程系列(二)项目启动
lookingatsky的博客
08-06 567
好了,phalcon安装完毕后开始正式项目吧 环境:1.php 2.phalcon 3.mysql 4.httpd 以上是最简单的phalcon项目部署环境,可以完成大多数小型项目 首先介绍一款phalcon的框架invo,按照mvc规则设计,基于框架可以开发出丰富多彩的项目 invo的github地址 https://github.com/phalcon/invo.git 注意分支是 0.6.x 最新1.0.0的invo结构发生很大改变,不做解释 克隆命令 " git clone -b 0.6.x gi
Phalcon ajax防 csrf 提交方法
努力搬砖,努力生活
11-11 2301
描述在Phalcon中使用ajax提交post时如果正确使用csrf token防止csrf攻击
Phalcon 权限控制 ACL
robin xiong的专栏
10-13 4591
Access Control Lists(ACL) Phalcon\Acl提供了一个简单和轻量的权限控制管理, 访问控制列表(ACL Access Control List)允许应用控制客户端的请求(request)对它资源(区域)的访问。建议你了解更多关于ACL的相关知识,以便熟悉我们接下来讲到的一些概念. 总体来说,ACLs句含 roles 和 resources. Resources为A
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
理解与模拟Flask中的CSRF攻击及防护策略
"Flask模拟实现CSRF攻击的方法及防止策略" 在Web开发中,安全性是至关重要的。本文主要探讨了如何在Flask框架下模拟CSRF(Cross Site Request Forgery,跨站请求伪造)攻击,并提供了防止此类攻击的策略。CSRF攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值