CSRF 漏洞介绍

最新推荐文章于 2022-07-08 19:48:33 发布
最新推荐文章于 2022-07-08 19:48:33 发布
阅读量265 收藏
点赞数
分类专栏: PHP 文章标签: 安全 python linux java http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tryheart/article/details/109749812
版权

what CSRF

CSRF(Cross-site request forgery)跨站请求伪造:
攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用服务器对用户的信任,从而欺骗受害者去服务器上执行攻击链接。

成立条件

1、确定网站存在CSRF漏洞;
2、确定受害者处于登录状态;
3、受害者在登录状态点击链接。

CSRF 的防御方法

1、对refer进行校验。
2、添加 token 令牌。
token 是用户登录时,服务器根据用户名,登录时间,状态给用户分配的一个校验值。当用户进行操作时,服务器对这个token进行验证。正确就响应,没有通过就拒绝。

同源策略

同源:协议,端口,域名 相同
是浏览器自身的一种保护机制,不同源的客户端在没有授权的情况下不能读写对方资源。

跨域资源读取的方式

1、HTML 标签
2、jsonp 跨域
3、cors 跨域资源共享

jsonp 跨域读取资源漏洞的特征

1、敏感信息以 jsonp 格式返回
2、在请求中可见回调函数 callback=, 或者能猜测出存在回调函数。

星辰流炎
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2446
本篇总结归纳CSRF漏洞
CSRF漏洞token防御介绍-01
09-15
CSRF 漏洞 Token 防御介绍 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的 Web 应用安全漏洞,它允许攻击者在用户不知情的情况下,伪造用户的请求,导致用户执行非预期的操作。为了防御 CSRF 漏洞...
Csrf漏洞简介
Amire0x的小乐园
05-06 575
Csrf 简介 Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。通过伪装来自受信任用户的请求来利用受信任的网站。 在跨站请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策...
CSRF漏洞简介
不怕死的假老练
09-05 1756
一、概述 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 ...
CSRF漏洞简单概述
qq_52781120的博客
03-23 150
CSRF漏洞 *简介 Cross-site request forgery(跨站请求劫持) 与XSS经常混淆 从信任的角度来区分: 1.XSS:利用用户对站点的信任 2.CSRF:利用站点对已经身份认证的信任结合社工在身份认证会话过程实现攻击 在实战的应用: 修改账号密码、个人信息(email、收货地址)。 发送伪造的业务请求(网银、购物、投票) 关注他人社交账号、推送博文 在用户非自愿、不知情的情况下提交请求 攻击流程: 在目标登陆后,攻击者利用社工,对目标机发送钓鱼js,诱使目标点击,则其会在用户不
CSRF漏洞详解
渗透测试研究中心
06-10 1008
0x01 CSRF定义   CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。尽管听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流...
CSRF漏洞详细说明
02-26
经常入选owasp漏洞列表Top10,在当前web漏洞排行,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证...
CSRF漏洞的靶场实验
最新发布
09-19
在“CSRF漏洞的靶场实验”,我们将通过实际操作来理解这种攻击方式以及如何防御。 首先,我们需要了解CSRF攻击的基本原理。当用户访问一个网站并登录后,浏览器会保存一个叫做会话(Session)的状态,使得用户在...
hucart-含有CSRF漏洞的源码.zip
12-31
在这个案例,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际的示例,让我们深入探讨一下CSRF漏洞的原理、危害以及防范措施。 1. **CSRF漏洞原理**: CSRF漏洞通常发生在Web应用程序,这些应用请求进行...
浅谈CSRF漏洞介绍
小丁长不胖
06-25 360
CSRF漏洞介绍 CSRF(英语:Cross-site request forgery)跨站请求伪造,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 最大的区别就是CSRF没有盗取用户的cookie,而是直接的利用了浏览器存储的cookie让用户去执行某
AJP及CSRF漏洞描述及处理方案
10-20
Apache JServ协议(AJP)是一种二进制协议,可以将来自Web服务器的入站请求代理到 位于Web服务器后面的应用程序服务器。不建议在互联网上公开使用AJP服务。 如果AJP配置错误,可能会允许攻击者访问内部资源。
CSRF漏洞
热门推荐
weixin_39861994的博客
10-29 1万+
一、CSRF漏洞介绍CSRF是指利用受害者尚失效的身份认证信息( cookie、会话 等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下 以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。 CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用 二、CSRF类型: get请求CSRF 只需要构造URL,然后诱导受害者访问利用。 POST请求CSRF 构造自动提交的...
关于CSRF漏洞的一些介绍
qq_46854899的博客
04-27 479
The purpose of life is growth. —— Bob Proctor, Motivational Coach 「人生的目的是成长。」 —— 包柏·普克 今天给大家推荐的是csrf漏洞 那么它的危害有哪些呢 1.执行恶意操作(“被转账”,“被发垃圾评论”) 2,制造蠕虫 … 一、 简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“On...
说一说CSRF漏洞
ahjxhy2010的博客
11-17 393
CSRF漏洞(Cross-Site Request Forgery),是Web应用常见的一种攻击方法,存在CSRF攻击可能的站点,就存在CSRF漏洞。 先举例说明 在一个论坛上,Alice发了一个帖子,Eve回复了她的帖子,以下面的方式上传了一张图片: Eve: Hello Alice! Look here: http://bank.example.com/withdraw?a
CSRF漏洞总结
m0_62805300的博客
07-08 784
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户退出网站A之前,在同一浏览器,打开一个TAB页访问网站
csrf攻击的原理和Django防范csrf攻击的方法
KrystalCSDN的博客
11-10 317
csrf攻击的原理 CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并授权的情况下执行在权限保护之下的操作。比如说,受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 ...
CSRF漏洞之——漏洞复现
wsnbbz的博客
03-04 3196
介绍 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求referer,从而导致恶意攻击者利用普通用户的...
csrf漏洞dvwa
09-13
在DVWA,可以找到一些关于CSRF漏洞的练习。要利用CSRF漏洞,攻击者需要诱使受害者访问一个包含恶意请求的网页。当受害者登录到DVWA并点击了这个网页时,他们的操作将被误导到执行攻击者指定的操作,而不是预期的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值