CSRF攻击

已于 2023-11-22 11:56:57 修改
阅读量63 收藏
点赞数
文章标签: csrf 安全 前端
于 2023-11-22 11:51:05 首次发布

一.CSRF是什么?

  CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

二.CSRF可以做什么?

  你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。

三.CSRF的原理

  下图简单阐述了CSRF攻击的思想:

从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:

  1.登录受信任网站A,并在本地生成Cookie。

  2.在不登出A的情况下,访问危险网站B。

  看到这里,你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。是的,确实如此,但你不能保证以下情况不会发生:

  1.你不能保证你登录了一个网站后,不再打开一个tab页面并访问另外的网站。

  2.你不能保证你关闭浏览器了后,你本地的Cookie立刻过期,你上次的会话已经结束。(事实上,关闭浏览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了......)

  3.上图中所谓的攻击网站,可能是一个存在其他漏洞的可信任的经常被人访问的网站。

  上面大概地讲了一下CSRF攻击的思想,下面我将用几个例子详细说说具体的CSRF攻击,这里我以一个银行转账的操作作为例子(仅仅是例子,真实的银行网站没这么傻:>)

  示例1:

  银行网站A,它以GET请求来完成银行转账的操作,如:http://www.mybank.com/Transfer.php?toBankId=11&money=1000

  危险网站B,它里面有一段HTML的代码如下:

  <img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>

  首先,你登录了银行网站A,然后访问危险网站B,噢,这时你会发现你的银行账户少了1000块......

  为什么会这样呢?原因是在访问危险网站B的之前,你已经登录了银行网站A,而B中 的<img>以GET的方式请求第三方资源(这里的第三方就是指银行网站了,原本这是一个合法的请求,但这里被不法分子利用了),所以你的浏 览器会带上你的银行网站A的Cookie发出Get请求,去获取资源“http://www.mybank.com /Transfer.php?toBankId=11&money=1000”,结果银行网站服务器收到请求后,认为这是一个更新资源操作(转账 操作),所以就立刻进行转账操作......

CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的!

四.CSRF的防御

1. 只使用JSON API

使用JavaScript发起AJAX请求是限制跨域的,并不能通过简单的 表单来发送JSON,所以,通过只接收JSON可以很大可能避免CSRF攻击。

2. 验证HTTP Referer字段

根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如上文中用户User想要在网站WebA中进行转账操作,那么用户User

必须先登录WabA
然后再通过点击页面上的按钮出发转账事件

这时该转帐请求的 Referer 值就会是转账按钮所在的页面的URL,而如果黑客要对银行网站实施 CSRF攻击,他只能在他自己的网站构造请求,当用户User通过黑客的网站发送请求到WebA时,该请求的 Referer 是指向黑客自己的网站。
因此,要防御 CSRF 攻击,网站WebA只需要对于每一个转账请求验证其 Referer 值,如果是以网站WebA的网址开头的域名,则说明该请求是来自WebA自己的请求,是合法的。如果 Referer 是其他网站的话,则有可能是黑客的 CSRF 攻击,拒绝该请求。

3. 在请求地址中添加takon验证

CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
这种方法要比检查 Referer 要安全一些,token 可以在用户登陆后产生并放于 session 之中,然后在每次请求时把 token 从 session 中拿出,与请求中的 token 进行比对。

CSRF 攻击是基于在同一个浏览器中,发送请求时会默认带上已经登录的cookie信息,如果后台校验身份不使用cookie,而使用token(非cookie中一般在请求头中)验证身份,就可以防御CSRF攻击。

参考:

CSRF攻击原理及防护 - 知乎

小百菜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Flask模拟实现CSRF攻击的方法
09-20
主要介绍了Flask模拟实现CSRF攻击的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CSRF 攻击
无知小九的博客
08-10 1649
这种方法解决了使用 cookie 单一验证方式时,可能会被冒用的问题,但是这种方法存在一个缺点就是,我们需要给网站中的所有请求都添加上这个 token,操作比较繁琐。第三种方式使用双重 Cookie 验证的办法,服务器在用户访问网站页面时,向请求域名注入一个Cookie,内容为随机字符串,然后当用户再次向服务器发送请求的时候,从 cookie 中取出这个字符串,添加到 URL 参数中,然后服务器通过对 cookie 中的数据和参数中的数据进行比较,来进行验证。同时这种方式不能做到子域名的隔离。...
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
CSRF攻击模拟
weixin_35754962的博客
01-04 127
CSRF 攻击是一种网络攻击,其目的是在用户不知情的情况下让用户执行恶意操作。攻击者会在用户浏览的网站上嵌入恶意代码,当用户访问该网站时,恶意代码就会自动执行。攻击者可以通过这种方式来窃取用户的敏感信息,或者在用户不知情的情况下购买商品或服务。为了防止 CSRF 攻击,网站可以使用验证机制,例如在用户提交表单时要求输入验证码,或者使用令牌机制来验证用户的身份。 ...
csrf攻击 java_Web常见攻击手段-CSRF攻击
weixin_34797871的博客
02-21 180
什么是CSRF攻击?跨站请求伪造(Cross-Site Request Forgery, CSRF),恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。尽管听起来跟XSS跨站脚本攻击有点相似,但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自...
CSRF攻击的应对之道
01-30
CSRF(Cross ...然而,该攻击方式并不为大家所熟知,很多网站都有CSRF安全漏洞。本文首先介绍 CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
Python Django框架防御CSRF攻击的方法分析
09-18
主要介绍了Python Django框架防御CSRF攻击的方法,结合实例形式分析了Python Django框架防御CSRF攻击的原理、配置方法与使用技巧,需要的朋友可以参考下
在Django中预防CSRF攻击的操作
12-20
CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证 防止 CSRF 攻击 步骤: 1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2. 在 Form 表单中添加一个隐藏的的字段...
前端安全防护实战:XSS、CSRF防御与同源策略详解(react 案例)
最新发布
qq_35374791的博客
05-03 791
前端安全防护实战中,主要涉及三个方面:XSS (Cross-Site Scripting) 攻击的防御、CSRF (Cross-Site Request Forgery) 攻击的防御,以及浏览器的同源策略
保护通信的双重安全:消息认证与身份认证
JAZJD的博客
04-28 1575
在网络通信中,散列函数扮演着至关重要的角色。散列函数是一种将任意长度的数据转换成固定长度散列值的算法。这种转换过程是单向的,即无法通过散列值逆向推导出原始数据。常见的散列函数包括MD5、SHA-1和SHA-256等。例如,SHA-256能够将任意长度的数据转换成256位的散列值,具有较高的安全性和抗碰撞性。消息认证是确保通信数据完整性和真实性的重要手段。通过在数据中添加消息认证码(MAC),可以防止数据被篡改或伪造。常见的消息认证算法包括HMAC(基于散列的消息认证码)和CMAC(密码消息认证码)等。
逻辑漏洞:水平越权、垂直越权靶场练习
qq_68163788的博客
05-02 915
水平越权和垂直越权是组织中常见的管理问题,指的是员工在组织中所拥有的权力和责任超出其职位所应具备的范围。 水平越权是指员工在同一级别的职位上超越了其同事的权力和责任范围,通常表现为某个员工在团队中承担了过多的任务或权力,导致其他同事感到不公平或不满。 垂直越权则是指员工在组织中超越了其职位等级的权力和责任范围,通常表现为员工在没有得到上级批准的情况下做出决策或行动,可能会导致组织内部的混乱和冲突。
等保测评常见安全风险
weixin_64392888的博客
04-28 854
9. **网络分段风险**:二级及以上系统应将重要网络区域和非重要网络区域划分在不同网段或子网,避免生产网络和办公网络混在一起带来的风险。1. **信息泄露风险**:评估系统中存储、传输和处理的敏感信息的安全性,防止数据被非法获取,避免个人隐私泄露或公司机密泄露等问题。13. **个人信息保护风险**:二级及以上系统在未授权的情况下不应采集、存储用户个人隐私信息,避免违规行为带来的风险。5. **不安全的通信风险**:评估传输数据时的加密和解密机制,确保数据在传输过程中的安全,防止数据被窃听或篡改。
创造未来知识管理新篇章:Ollama与AnythingLLM联手打造个人与企业的安全知识库!
跟着大数据和AI去旅行
04-30 1099
Ollama是一个开源的大型语言模型服务工具,它帮助用户快速在本地运行大模型。通过简单的安装指令,用户可以执行一条命令就在本地运行开源大型语言模型,如Llama 2。Ollama极大地简化了在Docker容器内部署和管理LLM的过程,使得用户能够快速地在本地运行大型语言模型。打造个性化聊天机器人:用Ollama和Open WebUI搭建你的私有ChatGPT!windows 下 docker compose 安装 ollama 和 open-webui ,打造私有GPT。
Linux系统安全及应用(1)
煤五千的博客
04-26 1276
usermod -s /sbin/nologin 用户名usermod-L用户名passwd-S用户名passwd-用户名userdel [-r]用户名。
IP路由安全:保护网络免受威胁
JAZJD的博客
04-29 1290
在当今互联的世界中,确保网络通信的安全至关重要。IP路由安全是网络安全的重要组成部分,它涉及保护通过 IP 网络传输的数据以及确保路由协议本身的安全。在本博客中,我们将探讨 IP 路由安全的主题,包括 IPv4 和 IPv6 协议的安全性分析、IPsec 的介绍,以及确保路由安全的最佳实践。发送方发送方根据 IP 数据包(包括标头)计算哈希值。哈希值和一些其他安全参数被添加到 AH 头中。IP 数据包被封装在 AH 头内,然后封装在外部 IP 头中。
什么是网络安全等级保护测评(等保测评)?
weixin_51347473的博客
04-29 531
它通过对信息和信息系统的安全性进行评估,发现并纠正存在的安全漏洞和隐患,提高信息系统的安全性和可靠性,保障信息的安全。1.提高信息和信息系统的安全性:通过等保测评,可以发现并纠正存在的安全漏洞和隐患,提高系统和数据的安全性和可靠性。2.进行现场调研和检测:对系统和数据进行现场调研和检测,了解系统和数据的安全状况和存在的问题。总之,等保测评是保障信息和信息系统安全的重要手段之一,对于企业和组织来说具有重要的意义和作用。1.确定测评目标和范围:明确要测评的信息和信息系统的范围和目标,了解业务需求和安全需求。
网络安全实训Day16
Yisitelz的博客
04-26 1956
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
CSRF 攻击 攻击原理
06-11
CSRF(Cross-Site Request Forgery)攻击又称为跨站请求伪造或者被动式攻击攻击者通过伪造合法用户的请求发送到Web应用程序,从而达到不正当的目的。攻击者通常需要诱导用户执行某些操作(如点击链接、访问网站等),以触发CSRF攻击CSRF攻击的工作原理是攻击者构造一个恶意请求,然后诱导用户访问带有恶意请求的页面。当用户访问该页面时,浏览器会自动发送请求到Web应用程序,由于请求中包含了用户的合法身份认证信息(如cookie等),Web应用程序无法区分该请求是否是用户本人的操作,从而执行了攻击者构造的恶意请求。 例如,攻击者可以在某个社交网站上发布一条欺骗性的链接,诱导用户点击该链接。当用户点击链接后,浏览器会自动向Web应用程序发送一条请求,该请求中包含了用户的身份认证信息和攻击者构造的恶意请求。由于Web应用程序无法判断该请求是否是用户本人的操作,因此会执行该恶意请求,从而导致CSRF攻击成功。 为了防止CSRF攻击,开发者可以采取以下措施: 1. 在关键操作(如修改密码、转账等)中增加CSRF令牌验证,确保请求是由合法用户发出的。 2. 对用户输入的数据进行有效的过滤和验证,避免恶意请求被执行。 3. 不要在GET请求中执行关键操作,避免恶意链接导致的攻击风险。 4. 使用HTTPS协议加密用户的身份认证信息,避免信息被篡改或窃取。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值