CSRF攻击的初步理解

最新推荐文章于 2024-09-09 17:11:05 发布
最新推荐文章于 2024-09-09 17:11:05 发布
阅读量437 收藏
点赞数
分类专栏: 网络安全之web 文章标签: csrf 浏览器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013908944/article/details/67634225
版权

**

  • -

CSRF:跨站请求伪造

**
白话解释简单说—-黑客伪装成被攻击者,用被攻击者的网站身份去操作远端的网站服务,即被攻击者正常的浏览网页(如访问了百度文库)又点击了含有恶意代码(img标签:删除百度文库的所有文件)的网站,则你就发现自己辛辛苦苦在百度文库积攒的文件都没了,自己没删除啊?怎么就没了?
**

Csrf的攻击原理

**
用户在正常的浏览网页,用户的浏览器也拿到了网站的认证(cookie),可以畅通操作该账户权限下所有的功能,but用户又有其他需求需要点击其他的网站,不好这个网站还有恶意的操作行为(对用户的已有的cookie的网站操作),则浏览直接封装该恶意的请求,发送到正常的网站请求操作,导致在用户不知情的情况下操作了自己不知的操作。

攻击流程:

1.User1浏览并登陆正常的网站A
2.验证通过并在user1的浏览器产生网站A的cookie
3.User1在没有退出网站A的情况下访问了网站B(恶意网站)
4.网站B的页面里包含(操作网站A的)恶意行为
5.User1的浏览器会认为user1出发对网站A的操作行为,则带着cookie去操作网站A
6.攻击成功

Csrf的攻击危害

以被攻击者的名义发请求操作,盗取你的账号,甚至购买商品,货币转账,个人隐私泄露以及财产安全等。

Csrf的防御:

有server和client端防御:
就server端可以:
1 增加sha1值的验证,伪造请求无法携带sha1值,则服务端不响应
2 增加验证码机制,用户请求操作后会有验证机制(如:百度文库请求删除会弹出“确认删除吗?”然后用户可以进步一确认)
3 增加每个页面的伪随机数,就是每个操作页面的cookie值不一样,csrf攻击请求用的cookie对恶意操作的页面不生效。
4 验证码,重要的操作必须要验证码,才能通过。
等还有新的防御技术,暂时没了解到。

弘毅密令
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF漏洞详解,一文看懂CSRF
发哥微课堂
06-12 5937
0x00:CSRF 简述 CSRF(Cross Site Request Forgery,跨站请求伪造),字面理解意思就是在别的站点伪造了一个请求。专业术语来说就是在受害者访问一个网站时,其 Cookie 还没有过期的情况下,攻击者伪造一个链接地址发送受害者并欺骗让其点击,从而形成 CSRF 攻击。 0x01:CSRF 案例 受害者 (A) 登录了某个银行给朋友 (B) 转账,其转账操作发送...
[Web安全] xss&CSRF漏洞初探
qq_42551635的博客
09-06 781
[Web安全] xss&CSRF漏洞初探 正文|xss简介 现代网站往往会包含大量的动态内容,动态内容是指web应用程序根据用户环境和需要来输出相关内容。跨站脚本攻击(cross site scripting)是一种针对网站应用程序的安全漏洞利用技术,是代码注入漏洞的一种,它使得攻击者可以通过巧妙地方法向网页中注入恶意代码,用户浏览器在加载网页、渲染html文档时就会执行攻击者的恶意代码,攻击成功后,攻击者可能得到很高的权限,获取私密网页内容、会话、cookie等敏感信息。XSS可以理解为在用户
浅谈CSRF攻击方式
weixin_30556161的博客
12-12 96
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你...
(29.1)【CSRF详解】CSRF原理、利用过程、分类、举例、工具……
04-06 9868
一个细节都不不想放过
CSRF攻击方式
weixin_30885111的博客
03-20 394
来源:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理...
什么是 CSRF 攻击
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
CSRF漏洞简单理解
u012903926的专栏
10-19 6443
http://www.h3c.com.cn/About_H3C/Company_Publication/IP_Lh/2012/04/Home/Catalog/201208/751467_30008_0.htmCSRF漏洞简介 CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从
CSRF攻击技术
06-09
2. **Referer检查**:虽然不完全可靠,但可以通过检查请求的来源(Referer)是否来自预期的站点来初步防御CSRF攻击。 3. **双因素认证**:在敏感操作前要求用户提供额外的身份验证,如手机验证码,增加攻击难度。 4....
CSRF漏洞自动化探测-01
09-15
手动探测原理可以帮助我们更好地理解CSRF漏洞的原理,并且可以对Web应用程序进行初步的安全检测。 二、自动化探测工具介绍 自动化探测工具是指使用专门的工具来检测CSRF漏洞。CSRFTester是一款CSRF漏洞的测试工具...
OWASP Zap中的CSRF跨站请求伪造测试
# 1. 简介 ## 1.1 什么是OWASP Zap OWASP Zap(Zed Attack Proxy)是一个免费的开源安全工具,用于发现网站应用程序中...CSRF攻击的原理是利用用户身份认证信息,伪装成用户发起恶意请求,因为用户已经登录目标网站,
什么是CSRF?可能多数人都不清楚,没事,一起来了解!!!
lajos的博客
06-23 3万+
        CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。        这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户...
CSRF攻击详解和应对策略
山鬼谣弋痕夕的博客
08-10 2089
CSRF攻击的应对之道 https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/ CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。 你可以这样来理解:        攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但...
Web安全-检测-CSRF
AG9GgG的博客
10-14 1833
背景知识 跨站域请求伪造(CSRF,Cross Site Request Forgery)是一种网络攻击方式,它在2007年曾被列为互联网20大安全隐患之一。 网站是通过cookie来识别用户的,当用户成功进行身份验证之后,浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站就会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的url,可能就会执...
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
CORS 请求未能成功_「全栈修炼」CORS和CSRF修炼宝典
weixin_39615984的博客
11-22 180
CORS 和 CSRF 太容易混淆了,看完本文,你就清楚了。一、CORS 和 CSRF 区别先看下图:两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍:CORS : Cross Origin Resourse-Sharing 跨站资源共享CSRF : Cross-Site Request Forgery 跨站请求伪造XSS : Cross Site Scrit 跨站脚本攻击(为与 C...
如何识别和防范跨站请求伪造(CSRF)?
盼盼盼的博客
09-09 367
识别和防范跨站请求伪造(CSRF)的关键在于理解攻击原理并采取相应的措施。
通过组合Self-XSS + CSRF得到存储型XSS
2301_80127209的博客
09-05 849
在一次漏洞赏金挖掘中,我在更改用户名的功能点出发现了一个XSS,在修改用户名的地方添加了一个简单的XSS payload并且刷新页面
AzurePyblobLogging-1.0.8-py3-none-any.whl.zip
最新发布
09-11
AzurePyblobLogging-1.0.8-py3-none-any.whl.zip
基于ssm的大学运动场地管理系统设计与实现.docx
09-11
基于ssm的大学运动场地管理系统设计与实现.docx
提升Web安全:预防XSS与CSRF攻击的策略与测试手段
CSRF攻击则不同,它利用的是用户的已登录状态,攻击者构造伪造请求,让受害者在不知情的情况下执行操作,如转账、修改设置等。防止CSRF通常需要实施双向身份验证,使用CSRF令牌或检查请求来源的可信性。 在安全测试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值