CSRF 跨站攻击

最新推荐文章于 2024-05-28 14:38:53 发布
最新推荐文章于 2024-05-28 14:38:53 发布
阅读量865 收藏
点赞数
分类专栏: web安全 文章标签: CSRF 网络安全 跨站攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012279631/article/details/93479892
版权

CSRF 跨站攻击

CSRF (Cross Site Request Forgrey).是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。

原理:
站内发送请求一般需要一个登陆了的标志。一般存储在cookies 中。这个cookies会存在浏览器中,而发送请求的时候都会带上这个cookies。hacker 无法拿到这个数据。但是可以通过发送请求都会带上cookies的这个特性,通过另外的网站转而调用需要的请求。这时候就能够成功。(只要cookies没有过期)。
通过这种方式hacker 无需获取cookies,只需要制作一个网站,在其相关cookies没有过期时让他去点击就可以进行危险的行为。

例子

http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 的存款转到 bob2 的账号下。通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的 session,并且该 session 的用户 Bob 已经成功登陆。黑客 Mallory 自己在该银行也有账户,他知道上文中的 URL 可以把钱进行转帐操作。Mallory 可以自己发送一个请求给银行:

最低0.47元/天 解锁文章
lcf枫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS,CSRF攻击及预防等一些web安全问题
D_Z_Yong的博客
03-18 8991
一.XSS 1.定义 xss中文名:跨站脚本攻击。 xss的重点不在于跨站点,而是在于脚本的执行,当用户浏览该页面的时候,那么嵌入到web页面的script代码执行,因此到达恶意攻击用户的目的 2.分类(3种) .反射型(非持久(一次性)、需要服务器) 一般指攻击者通过诱惑的方式来诱惑用户去访问一个包含恶意代码的url,当点击时就直接在主机浏览器上执行(获取cookie的信息) 存...
Web安全—跨站请求伪造攻击CSRF
weixin_44431280的博客
02-04 734
CSRF(Cross-site request forgery)跨站请求伪造 提要:CSRF(Cross-site request forgery)跨站请求伪造属于客户端攻击,一句话可以总结为:攻击者盗用了用户的身份信息,以用户的名义发送恶意请求,对服务器来说这个请求是用户发起的,但却完成了攻击者所期望的一个操作。 原理讲解: 第一步:用户通过浏览器登陆访问目标网站A,网站A返回给浏览器用户的认证信息(cookie或sessionid),此时对于网站A,用户的请求都是合法的 第二步:在网站A不退出,浏览
CSRF详解(跨站请求伪造)
最新发布
qq_70584783的博客
05-28 641
工作原理:当用户在不知情的情况下点击了一个恶意链接或者访问了包含攻击代码的页面时,攻击代码就以用户的身份向服务器发送请求,从而在用户的权限下执行非法操作,如转账、修改密码等。概念解释:CSRF,即跨站请求伪造,是一种攻击者利用用户在网站上的身份认证信息,通常是未失效的Cookie或话,诱使用户发起非预期的请求到目标网站攻击方式。按请求类型分类:CSRF攻击可以按照HTTP请求的类型进行分类,常见的有GET请求和POST请求的CSRF攻击。技术进步:随着技术的发展,新的防御技术和攻击手段将不断出现。
网站漏洞修复之CSRF跨站攻击
网站安全专家
06-09 1111
 CSRF通俗来讲就是跨站伪造请求攻击,英文Cross-Site Request Forgery,在近几年的网站安全威胁排列中排前三,跨站攻击利用的是网站的用户在登陆的状态下,在用户不知不觉的情况下执行恶意代码以及执行网站的权限操作,CSRF窃取不了用户的数据,只能执行用户能操作的一些数据。比如:在用户不知道的情况下, 把账户里的金额,以及银行卡号,体现功能,都转移到其他人账户里去。如果被攻击者是...
CSRF跨站请求伪造)攻击和预防
allway2的博客
09-05 735
但是,如果您遵循上述注意 HTTP 动词的规则,这对于 CSRF 保护来说不是必需的。幸运的是,只要您使用支持 CSRF 令牌并明确 HTTP 动词的体面、现代的应用程序平台,它们也很容易避免。当使用 cookie 进行话管理的 Web 应用程序无法验证 HTTP POST 请求的来源时,通常出现 CSRF跨站点请求伪造)漏洞。防止这些攻击的常用方法是使用称为 CSRF 令牌的东西。您应该将令牌绑定到预身份验证话(当用户进行身份验证并为用户提供新的话 ID 时,您应该将其丢弃,但这是另一回事)。
【前端安全】一、CSRF攻击和XSS攻击
weixin_39307273的博客
03-06 1477
1、CSRF CSRF,全称Cross-site request forgery(跨站请求伪造),其原理是利用用户的身份,执行非用户本身意愿的操作(隐式身份验证机制)。 形式:图片URL、超链接、Form提交等,也可以嵌入到第三方论坛、文章中等地方。 危害:攻击者可以盗用用户的身份,以用户的名义进行恶意操作,包括但不限于以用户的名义发送邮件、资金转账、网上等危害用户的操作 原理: ...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
XSS与CSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
跨站攻击(XSS+CSRF).docx
01-05
3. 从攻击者和受害者角度理解CSRF攻击,实施Low、Medium、High等级的CSRF攻击。 4. 学习并实践CSRF的修复措施,如使用CSRF Token等。 5. 撰写实验报告,注重规范性、逻辑性和表达清晰度。 实验过程中,学生将使用...
Django CSRF跨站请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery(跨站请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网站A,浏览器就保存网站A...
csrf跨站请求伪造简单示例
10-18
一个简单的csrf跨站请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
跨站请求伪造-CSRF防护方法
03-12
跨站请求伪造-CSRF防护方法跨站请求伪造-CSRF防护方法
web基础漏洞之CSRF跨站请求伪造漏洞)
m0_62274649的博客
10-04 1274
一些自己的小总结,有待完善
Web前端安全学习-CSRF
effort666的博客
06-09 45
今天下午上了一堂前端安全的课,挺有意思,记录下来。在上课之前,我对安全的概念是:用户输入是不可信的,所有用户的输入都必须转义之后才入库。然后,上面这个这种方式,仅仅是防止SQL注入攻击,避免业务被渗入。在数据库有了一层安全保护之后,攻击者们的目标,从转移到了用户身上。由此,出现了CSRF攻击和XSS攻击
CSRF 跨站请求详解
m0_60571990的博客
10-07 441
CSRF 跨站请求详解
web渗透测试----14、CSRF跨站请求伪造攻击
七天
03-25 3650
文章目录一、CSRF概述二、CSRF攻击条件1、相关操作2、基于Cookie的话处理3、没有不可预测的请求参数三、CSRF的防御1、验证请求的Referer值2、CSRF Token3、验证码等验证业务过程的方式四、基于Token的CSRF1、CSRF令牌的验证取决于请求方法2、CSRF令牌的验证取决于令牌是否存在3、CSRF令牌未绑定到用户话4、CSRF令牌绑定到非话cookie5、CSRF令牌只是在Cookie中重复五、基于Referer的CSRF1、Referer的验证取决于请求头是否存在2、是
教你轻松解决CSRF跨站请求伪造攻击
华为云官方博客
04-21 4756
CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
跨站攻击和利用CSRF token来防御
FinixLei的专栏 (https://github.com/FinixLei)
06-14 1835
跨站攻击: 用户首先访问网银站点,登录成功后,浏览器拿到token 用户并没有登出网银站点,此时又登录一个钓鱼站点 钓鱼站点有一个诱惑链接,用户点了此链接,此链接的内容是一个URL,而此URL的实质就是转账给钓鱼者,用的是网银的标准转账URL. 用户点此链接后,浏览器封装HTTP请求,当看见是访问那个尚未退出的网银站点,就自动加上了cookie与auth token 于是,authentica...
CSRF跨站请求伪造攻击
kun blog
04-02 625
CSRF跨站请求伪造攻击 简介 CSRF攻击的全称是跨站请求伪造( cross site request forgery)。 CSRF是一种挟制用户在当前已登录的WEB应用程序上执行非本意的操作的攻击方法。 是一种对网站的恶意利用,尽管听起来跟XSS跨站脚本攻击有点相似,但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站...
Web安全实验:跨站攻击(XSS+CSRF)原理与实战
"本次实验主要关注的是Web安全中的两种重要攻击方式:跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。实验旨在让参与者深入理解这两种攻击的原理,掌握不同级别的攻击实施,并了解相应的防御和修复措施。实验环境为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值