『python爬虫』formhash 与 跨站请求伪造(CSRF)攻击

于 2024-03-10 07:34:34 发布
阅读量1k 收藏 19
点赞数 13
分类专栏: # python爬虫 # scrapy爬虫 文章标签: python 爬虫 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011027547/article/details/136314756
版权

目录

欢迎关注 『python爬虫』 专栏,持续更新中
欢迎关注 『python爬虫』 专栏,持续更新中

1. 什么是跨站请求伪造(CSRF)攻击?

跨站请求伪造(CSRF)攻击是一种网络安全漏洞,攻击者利用用户当前已认证的会话来执行未经用户授权的操作。攻击者通过诱使受害者点击包含恶意请求的链接或访问恶意网站,从而利用受害者当前的身份验证信息(如 Cookie 或其他认证凭证)来发送未经授权的请求,比如执行转账、更改密码等操作。

CSRF 攻击的典型场景包括以下步骤:

  • 受害者登录了一个网站,并且保留了登录状态。
  • 攻击者诱使受害者访问包含恶意请求的页面,比如点击了带有恶意链接的邮件、访问了恶意网站等。
  • 页面中的恶意请求会利用受害者当前的身份验证信息,比如 Cookie,来执行一些操作,比如发起银行转账、更改密码等。

2. 防御 CSRF 攻击的措施

  • 使用随机生成的 token:在表单提交时,向表单中插入一个随机生成的 token(即 formhash 等),服务器收到请求时验证该 token 的有效性。
  • 同源检测:服务器端可以检查请求的来源是否与当前网站的域名相匹配,如果不匹配则拒绝请求。
  • 验证 HTTP Referer 头:服务器端可以验证请求的 HTTP Referer 头部,确保请求来自合法的来源。
  • 对于网站开发者和管理员来说,保护用户免受 CSRF 攻击的影响是非常重要的。同时,用户也应当保持警惕,避免点击怀疑链接,尤其是包含个人敏感操作的链接。

3. 在爬虫反爬中的具体应用 - formhash

formhash通常用于网页中的表单提交。

在网络应用程序中,为了防止跨站请求伪造(CSRF)攻击,开发者会在表单中包含一个名为 formhash 的隐藏字段。formhash 是一个随机生成的字符串,每次表单提交时都会生成一个新的值。

在服务器端,当接收到带有 formhash 字段的表单提交请求时,开发者会验证 formhash 的值是否与当前用户会话中存储的值匹配。如果匹配成功,说明该请求是合法的,否则可能被视为 CSRF 攻击而被拒绝。

因此,formhash 的作用是增加表单提交的安全性,确保请求来自合法的来源。

需要注意的是,每个网站的实现方式可能略有不同,formhash 的名称和具体实现方式可能会因网站而异。

具体实战中应用示例[requests实战-精易论坛自动签到(保姆级图文+实现代码)]

总结

大家喜欢的话,给个👍,点个关注!给大家分享更多计算机专业学生的求学之路!

版权声明:

发现你走远了@mzh原创作品,转载必须标注原文链接

Copyright 2023 mzh

Crated:2023-3-1

欢迎关注 『python爬虫』 专栏,持续更新中
欢迎关注 『python爬虫』 专栏,持续更新中
『未完待续』

发现你走远了
关注
  • 13
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
formHash的实现--重点
huangleijay的专栏
10-08 856
问题重现 在我们的项目中,有一个商店购买的页面,流程是这样的:  选择道具  ----->  点击购买   -------> 获得道具 ------> 扣除银币 如果玩家在一秒钟并发的请求这个URL,  如果他有100个银币,只可以买10个道具,由于并发的问题,他还可以买100个道具,到时候,他的银币的数量可能扣除为负数。这样,对游戏来说,是非常严重的问题。 并发的原理是这样的:当玩家第一次购买
【PHP】(原创)之表单FORM的formhash校验,以TP3.2示例
weixin_34292924的博客
01-10 1389
1、目的:每次表单POST提交(ajax的POST也适用)过来数据,都必须校验formhash参数是否和服务器端的一致,不一致说明重复提交或者 攻击提交csrf 2、原理:参照了 KPPW 的formhash生成和校验示例。将formhash的生成写入基类构造函数,每次登陆用户操作数据,都生成hash并进行比较。 (用户未登录状态,也可以校验formhash,可以让你的网免于 遭受  无状态...
formhash值的自动签到实现)
panqihuan33的博客
03-04 324
本文用于网formhash值的每天自动签到的学习交流哈,不多说直接上代码。
formHash的实现
weixin_30437847的博客
06-25 357
问题重现 在我们的项目中,有一个商店购买的页面,流程是这样的: 选择道具 -----> 点击购买 -------> 获得道具------> 扣除银币 如果玩家在一秒钟并发的请求这个URL, 如果他有100个银币,只可以买10个道具,由于并发的问题,他还可以买100个道具,到时候,他的银币的数量可能扣除为负数。这样,对游戏来说,是非常严重的问题。 并...
discuz formhash
weixin_30951231的博客
01-19 279
class.core.php中 $this->var['formhash'] = formhash();define('FORMHASH', $this->var['formhash']); hash值生成方法 function formhash() { return substr(md5(substr($this->time, 0, -4).UC_KEY)...
保护你的爬虫免受CSRF攻击:深入了解CSRF-Token
最新发布
jixn的博客
10-10 4万+
CSRF(Cross-Site Request Forgery)是一种常见的网络攻击类型,可用于伪装用户发起的请求,因此保护你的爬虫免受CSRF攻击至关重要。在本文中,我们将深入探讨CSRF-Token,它在CSRF保护中的作用以及爬虫如何处理与之相关的问题。
python爬虫登录小木虫论坛爬取交友信息
07-24
python爬虫登录小木虫论坛爬取交友信息,需登录两次,第二次要回答一个简单的问题,见源代码 session = requests.session() g = session.get('http://muchong.com/bbs/logging.php?action=login') g.headers = {...
Python 实现 T00ls 自动签到脚本代码(邮件+钉钉通知)
09-16
通过学习这个脚本,你可以了解到如何利用Python进行网络请求、处理登录和签到逻辑,以及如何与第三方服务如邮件和钉钉进行交互。对于想要深入Python自动化和Web API交互的初学者来说,这是一个很好的实践项目。
易语言POST发贴
07-19
当用户提交表单时,必须同时提供正确的formhash值,服务器才能接受并处理请求。在易语言中,你需要通过网络请求获取包含formhash的页面内容,然后解析HTML找到formhash的值,将其添加到POST数据中,以确保发贴请求的...
MT论坛每日自动签到PHP接口脚本开源
08-08
在论坛签到页的源代码中搜索formhash来获取formhash参数,在开发者工具的网页请求标头中获取cookie参数。 3,访问PHP文件进行测试。 4,在宝塔面板上添加计划任务,设置每日定时访问PHP文件的链接地址。 注意事项:...
Scrapy框架实现的登录网操作示例
09-18
Scrapy是一个强大的Python爬虫框架,用于构建高效且可扩展的网络爬虫程序。在某些情况下,我们需要爬取的网页可能需要用户登录才能访问,这就涉及到了Scrapy实现登录网的功能。本教程将介绍两种常见的登录方法:...
[爬虫]字节跳动招聘爬取实战-csrf校验
热门推荐
小小明-代码实体的专栏
01-07 7万+
作者:小小明 Pandas数据处理专家,帮助一万用户解决数据处理难题。 今天我们打算爬取一下字节跳动的招聘信息: 我们打开开发者工具并访问: https://jobs.bytedance.com/experienced/position?keywords=&category=&location=&project=&type=&job_hot_flag=&current=1&limit=10 这次访问监控到的数据很多,其中这个posts接口才有我们.
爬虫实战:csrf问题,dataframe存储到MongoDB
或左的博客
04-13 617
本文主要爬虫爬取过程中遇到csrf的问题,以及如何将表格数据保存到MongoDB数据库。 爬取目标 目标url:https://www.ctic.org/crm/?action=result 如上图选项,点击view summary,则到了下面的界面, 这里我们就是爬取这个表格,不过是1989年到2011年的表格。 CSRF 在爬取https://www.ctic.org/crm?tdsour...
python爬虫】爬取ipip信息(随机User-Agent+获取并携带cookie+获取并携带csrf_token访问)
AA8j的博客
03-18 515
本模块为IP溯源单线程获取ipip信息的模块。 效果图 代码 import re import urllib.request # 发送请求 import http.cookiejar # cookie from fake_useragent import UserAgent def get_ipip_html(ip): url1 = "https://www.ipip.net/ip.html" cookiejar = http.cookiejar.CookieJar() #
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取Token、Token过期、处理 CSRF-Token 需要注意的问题及示例
qq_46106285的博客
03-19 7759
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
discuz/uchome等康盛产品formhash()浅析
qw_xingzhe的专栏
08-01 6548
formhash是一种类似验证码的东西,用来防止网外部提交数据。 它在页面打开时就已经生成了,存在一需要提交数据用到的地方的隐藏input里(比如登录、发布文章)。 比如,在UCHOME的登录页面模板里,我们可以看到这样的: HTML代码      " />   formhash这个值是来自formhash()这个函数的。在我们(登录)提交表单时,同时也会把这个for
简书爬ajax接口获取csrf,python3爬虫项目实战(二)ajax请求爬取网图片
weixin_35926197的博客
08-06 322
这次的项目是利用ajax来对网图片进行爬取。Ajax的作用就是在保证页面不被刷新的情况下,与服务器交换数据从而只更新部分网页的技术。这里不多讲述ajax技术,先给出网页,来具体分析。https://www.toutiao.com/这个是头条的网,我们在搜索框输入“街拍”二字,点击搜索,就可以进入到搜索界面,按一下F12就可以进入检查模式,在这个模式下,我们点击Network选项卡,选择XHR后...
Python实现自动登录discuz论坛
AlienTech for better life!~
11-06 4917
文章来源:http://blogread.cn/it/article.php?id=2170&f=sr 最近被公司的事情搞的很纠结,博客也有段时间没写了,不过最近还是忙里偷闲做了点其他事情,在这里记录下来,和大家分享一下。 需求也比较简单,老婆是做社区运营的,所以需要每天把几个帖子定时的顶上来,手工做很累,所以就想让我用程序实现。 分析一下,其实无非是先用户名和密码登录,获取
discuz formhash 隐藏域的写法
天天的博客
06-16 343
给大家直接上模板
Python写一段代码实现mcbbs的自动签到
08-11
### 回答1: 这是一段Python代码,可以实现mcbbs的自动签到:import requests# mcbbs 的登录地址 url_login = 'https://www.mcbbs.net/member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes&inajax=1'# 这里填写你的mcbbs用户名和密码 data = {'username': 'your_username', 'password': 'your_password'}# 发送登录请求,并携带上面的参数 response = requests.post(url_login, data=data)# 签到的地址 url_sign = 'https://www.mcbbs.net/plugin.php?id=dsu_paulsign:sign'# 发送签到请求 response = requests.get(url_sign) ### 回答2: 要实现mcbbs的自动签到,可以使用Python的requests库和BeautifulSoup库进行网页请求和网页解析。 首先,需要导入需要的库: ``` import requests from bs4 import BeautifulSoup ``` 然后,通过requests库发送GET请求,获取签到页面的HTML代码: ``` url = 'https://www.mcbbs.net/' headers = { 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3' } response = requests.get(url, headers=headers) ``` 接下来,使用BeautifulSoup库解析HTML代码,找到签到按钮所在的元素,提取需要的数据: ``` soup = BeautifulSoup(response.text, 'html.parser') sign_button = soup.find('a', class_='xi2') formhash = soup.find('input', attrs={'name': 'formhash'})['value'] ``` 然后,构造POST请求数据,并发送签到请求: ``` data = { 'formhash': formhash, 'fastreply': '0', 'handlekey': 'checkin', 'signsubmit': 'yes' } response = requests.post(url, headers=headers, data=data) ``` 最后,检查签到是否成功,并输出结果: ``` if '您的签到排名' in response.text: print('签到成功!') else: print('签到失败!') ``` 以上就是使用Python实现mcbbs的自动签到的代码。注意,在实际使用中可能需要根据网页的更新进行相应的修改。 ### 回答3: 要用Python写一段代码实现mcbbs的自动签到,首先需要了解mcbbs网的签到机制和相关页面的网址。 首先,我们可以使用`requests`库发送POST请求来模拟用户的登录,获取登录后的Cookie信息。这可以使用如下代码实现: ```python import requests login_url = "http://www.mcbbs.net/member.php?mod=logging&action=login" data = { "username": "Your_Username", "password": "Your_Password", "fastloginfield": "username" } response = requests.post(login_url, data=data) cookies = response.cookies ``` 接下来,我们需要找到签到的网址。通常在mcbbs网上,签到的链接会以"/plugin.php?id=k_misign:sign&operation=qiandao"结尾。我们可以使用`urljoin`来拼接完整的链接,如下所示: ```python from urllib.parse import urljoin base_url = "http://www.mcbbs.net/" sign_url = urljoin(base_url, "/plugin.php?id=k_misign:sign&operation=qiandao") ``` 然后,我们可以使用获取到的Cookie信息来发送GET请求来实现签到的操作,如下所示: ```python response = requests.get(sign_url, cookies=cookies) ``` 最后,我们可以检查一下签到的结果。通常在mcbbs网上,签到成功会返回一段包含"成功"的提示信息。我们可以使用`in`关键字来检查提示信息中是否包含"成功",如下所示: ```python if "成功" in response.text: print("签到成功!") else: print("签到失败!") ``` 综合以上代码,就可以实现mcbbs的自动签到功能了。需要注意的是,为了能够成功签到,需要提供正确的登录用户名和密码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

发现你走远了

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值