跨站请求伪造 【安全方面】

最新推荐文章于 2024-04-22 09:27:03 发布
最新推荐文章于 2024-04-22 09:27:03 发布
阅读量360 收藏
点赞数
分类专栏: Java 文章标签: 跨站 协议 token 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012045045/article/details/80765224
版权
一级类: 跨站脚本
二级类:跨站请求伪造
数量: 126
详细信息:
    跨站请求伪造(CSRF)是伪造客户端请求的一种攻击。应用程序允许用户提交不包含任何保密信息的请求,将可能导致CSRF攻击。
    例如:以下代码片段用于银行转账功能,对于该重要敏感的操作没有进行相应防护,将易于导致跨站请求伪造攻击。
    <form method="GET" action="/transferFunds ">
        cash: <input type="text" name="cash"> 
        to: <input type=" text " name=“to"> 
        <input type="submit" name="action" value="TransferFunds"> 
    </form>
修复建议:
    防止跨站请求伪造攻击的方法如下:
    (1)二次验证,进行重要敏感操作时,要求用户进行二次验证。
    (2)验证码,进行重要敏感操作时,加入验证码。
    (3)在重要敏感操作的表单中加入隐藏的Token。
    例如:下面代码片段中,在表单中增加了一个Token。
    <form method="POST" action="/new_user">
        username: <input type="text" name="username">
        password: <input type="password" name="user_passwd">
        <input type="hidden" name="req_id" value="87ae34d92ba7a1">
        <input type="submit" name="action" value="Create User">
    </form>
    这样,服务器端程序响应用户请求前先验证Token,判断请求的合法性。对于Token,越难被猜出攻击者攻击成功的概率就越低。
一朵风中摇曳的水仙花
关注
专栏目录
Web安全跨站请求伪造攻击CSRF
weixin_44431280的博客
02-04 828
CSRF(Cross-site request forgery)跨站请求伪造 提要:CSRF(Cross-site request forgery)跨站请求伪造属于客户端攻击,一句话可以总结为:攻击者盗用了用户的身份信息,以用户的名义发送恶意请求,对服务器来说这个请求用户发起的,但却完成了攻击者所期望的一个操作。 原理讲解: 第一步:用户通过浏览器登陆访问目标网站A,网站A会返回给浏览器用户的认证信息(cookie或sessionid),此时对于网站A,用户请求都是合法的 第二步:在网站A不退出,浏览
每日漏洞 | 跨站请求伪造
03-12 912
HTTP的无状态性,导致Web应用程序必须使用会话机制来识别用户。一旦与Web站点建立连接(访问、登录),用户通常会分配到一个Cookie,随后的请求,都会带上这个Cookie,这样Web站点就很容易分辨请求来自哪个用户,该修改哪个用户的数据。如果从第三方发起对当前站点的请求,该请求也会带上当前站点的Cookie。正是这是这个缺陷,导致了CSRF的产生,利用这个漏洞可以劫持用户执行非意愿的操作。
跨站请求伪造CSRF
weixin_30466039的博客
08-18 167
CSRF即Cross Site Request Forgery(跨站请求伪造)。 用户客户端(浏览器)上任何一个操作如提交表单、点击超链接、或者是页面资源的显示都是向服务器发起请求 而得以实现的,所以攻击者往往都是可以通过模拟真实用户请求来“代替”用户完成操作的。 例如A用户删除id为18的文章的请求地址为:www.eco.com/delete?id=18 那么攻击者可以构造一个ht...
跨站请求伪造(CSRF)-简述
weixin_30483697的博客
10-27 152
跨站请求伪造(CSRF)-简述 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。[1] 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏...
简述跨站请求伪造--CSRF
qq_43189264的博客
07-22 175
跨站请求伪造CSRF 简介 CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作。 也就是说,攻击者借助合法用户的名义,在用户不知情的情况下发送了恶意(非用户意愿)的请求。服务器认为规则是合法的,但是用户却完成了一个恶意的操作(非用户意愿...
安全牛学习笔记】CSRF跨站请求伪造攻击漏洞的原理及解决办法
edu_aqniu的博客
10-23 1023
CSRF跨站请求伪造攻击漏洞的原理及解决办法 CSRF,夸张请求伪造漏洞 漏洞的原理及修复方法 1.常见的触发场景 2.漏洞原理:浏览器同源策略 3.DEMO 4.漏洞危害 5.如何避免&修复漏洞 WEB clinet server HTTP GET POST csrf漏洞 漏洞原理: Server端接受到用户请求的时候
CSFR(跨站请求伪造攻击与防御
zhaohong_bo的专栏
05-21 4832
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二、CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,...
第十六天csrf 跨站请求伪造
代码审计
03-22 395
xss 跨站脚本攻击 分为三大类: 反射型xss 特点: 1.通常在我们的请求包中或者在url中存在插入的payload 2. 需要服务器的参与 并最终通过服务器返回插入的payload 存储型xss 特点: 1.需要数据库的参与 2. 被攻击者访问特定的页面 服务器会从数据库中读取插入的payload 并最终返回 dom型xss 特点: 1.无需服务器的参与 2. 右键查看源代码 无法查看到插入的payload csrf 跨站请求伪造 挟制目标用户执行某些非本意的操作 跨站请求伪造(英语:Cross.
怎么防止跨站请求伪造攻击CSRF)?
Learn-anything.cn
11-24 1421
一、CSRF 是什么? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 二、实际攻击场景 下面用一个银行网站的转账功能,说明攻击原理。备注:涉及到 URL 等信息都是虚构。 1、登录账号 正常登录了一家银行网站,查看其后台信息后,没有退出登录; 假设这家银行操作转账的 URL
跨站请求伪造CSRF攻击与防御原理
weixin_58954236的博客
09-01 1553
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。
前端代码常见的安全缺陷(一)
最新发布
专注于大数据方向,区块链,前后端,数据可视化,人工智能等领域
04-22 2395
在使用标签中使用target属性,当值设置为“_blank”攻击者会针对`window.opener`API进行恶意行为的攻击,有可能导致钓鱼安全漏洞问题。例如,以下示例使用的`target`属性,但是没有设置`rel`属性。
手把手教你Java项目源码安全审查!
xmt1139057136的专栏
08-08 2720
你知道的越多,不知道的就越多,业余的像一棵小草!你来,我们一起精进!你不来,我和你的竞争对手一起精进!编辑:业余草来源:cnblogs.com/xdecode/p/9252113.htm...
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1798
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件...
web渗透测试----14、CSRF跨站请求伪造攻击
七天
03-25 3766
文章目录一、CSRF概述二、CSRF攻击条件1、相关操作2、基于Cookie的会话处理3、没有不可预测的请求参数三、CSRF的防御1、验证请求的Referer值2、CSRF Token3、验证码等验证业务过程的方式四、基于TokenCSRF1、CSRF令牌的验证取决于请求方法2、CSRF令牌的验证取决于令牌是否存在3、CSRF令牌未绑定到用户会话4、CSRF令牌绑定到非会话cookie5、CSRF令牌只是在Cookie中重复五、基于Referer的CSRF1、Referer的验证取决于请求头是否存在2、是
跨站伪造请求CSRF)的理解和总结
wish_way的博客
07-07 833
最近在解决网站CSRF安全服务漏洞,看了好多文档,有一下理解和总结: CSRF攻击是什么 CSRF跨站请求伪造的缩写,也被称为XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。因为CSRF攻击利用的是冲着浏览器分不清发起请求是不是真正的用户本人。,也就是说,简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 CSRF攻击基本
前端安全CSRF攻击跨站请求伪造
热门推荐
业余丰富各种技术栈
08-19 2万+
前端安全CSRF,日常防范CSRF攻击的几种方式
跨站请求伪造CSRF
佳佳的博客
03-07 1万+
跨站请求伪造CSRF) 概念 CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作。 具体来讲,可以这样理解CSRF攻击者借用用户的名义,向某一服务器发送恶意请求,对服务器来讲,这一请求是完全合法的,但攻击者确完成了一个恶意操...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值