CSRF 攻击

最新推荐文章于 2024-06-17 00:45:59 发布
最新推荐文章于 2024-06-17 00:45:59 发布
阅读量627 收藏 6
点赞数 10
文章标签: xss 前端 javascript 面试 csrf 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanglf_clog/article/details/139088010
版权

什么是 CSRF ?

  • CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击,是一种常见的网络攻击方式,它利用用户在已登录网站的凭证(如 Cookie、Session 等)向第三方网站发送非授权的请求。这种攻击之所以有效,是因为浏览器会自动携带用户在 A 网站的认证信息去访问 B 网站,如果 B 网站没有做好防护措施,就会误以为该请求是用户主动发起的并予以执行,从而可能执行恶意操作,如修改用户数据、进行非法转账等。

CSRF 攻击的基本流程:

  1. 用户登录: 用户登录到受信任的网站 A,并在本地生成了认证信息(Cookie)。
  2. 恶意链接构造: 攻击者构造一个包含恶意操作的 URL,该 URL 针对网站 B,且该操作需要用户已经登录的状态才能执行。
  3. 诱导用户点击: 攻击者通过邮件、社交媒体、即时消息等方式诱使用户点击这个恶意链接。
  4. 浏览器发送请求: 用户在不知情的情况下,浏览器带着在 A 网站的认证信息自动向 B 网站发送了请求。
  5. 恶意操作执行: 如果 B 网站没有验证请求是否由用户自己发起,那么它可能会误以为这是用户的真实意图,从而执行恶意操作。

如何确定一个接口地址有没有 CSRF 漏洞?

  • 拿到接口地址,抓取到接口的数据,在三方网站中再次发送请求,看是否能成功。如果成功,就可以确定存在 CSRF 漏洞。

如何防御 CSRF 漏洞?

  1. 使用安全的 HTTP 方法:对于修改数据的请求,使用 POST 而不是 GET。GET 请求的结果可以被缓存,并且可以被浏览器预加载,这会增加 CSRF 攻击的风险。

  2. 敏感操作增加二次确认:对于涉及重要操作的请求,例如转账、删除账户等,可以要求用户进行二次确认,以降低误操作的风险。

  3. 同源策略:确保网站的关键操作只能在同一个域名下执行。这样即使攻击者能够构造恶意请求,也无法在用户不知情的情况下执行它们。

  4. 限制敏感操作:对于涉及敏感操作(如更改密码、删除账户等)的请求,应该要求用户输入密码或进行其他形式的身份验证,以确保请求的合法性。

  5. 使用 CSRF 令牌:服务器在每个敏感操作的表单中嵌入一个随机生成的、一次性的 CSRF 令牌(Token)。提交表单时,此令牌也会一并提交,服务器验证提交的令牌与存储在会话中的令牌是否一致,确保请求的合法性。

  6. 验证 HTTP Referer 或 Origin 头部:虽然这个方法有局限性,但在某些情况下,检查请求的 Referer 或 Origin 头部可以作为一种辅助手段,确认请求是否来自可信赖的源。但是要注意,攻击者可能伪造这些头部,因此不能单独依赖此方法。

CSRF 和 XSS 的区别?

CSRF(Cross-Site Request Forgery):

  • 攻击目的:CSRF 的主要目的是欺骗已登录用户在不知情的情况下执行攻击者期望的操作,如转账、更改密码等。
  • 实现方式:攻击者通过诱骗用户点击恶意链接或访问嵌入恶意代码的网页,利用用户浏览器中对目标网站的有效会话(Cookie)发起非授权请求。
  • 用户状态要求:为了成功,CSRF 通常需要用户已经在目标网站上登录,并拥有有效的会话信息。
  • 攻击特征:相对隐蔽,用户往往不易察觉,因为请求看起来像是正常浏览的一部分。
  • 防护措施:通常采用 Token 验证、Referer 检查、SameSite Cookie 属性等方法。

XSS(Cross-Site Scripting):

  • 攻击目的:XSS 攻击旨在通过注入恶意脚本到网页中,当用户浏览该页面时,恶意脚本将在用户的浏览器上执行,进而盗取用户信息、操纵页面内容或重定向用户等。
  • 实现方式:攻击者通过各种手段将恶意脚本嵌入到网站的动态内容中,如评论区、搜索框等用户可输入的地方。
  • 用户状态要求:XSS 攻击不强制要求用户登录目标网站,只要用户访问了包含恶意脚本的页面即可。
  • 攻击特征:XSS 攻击可能更为直观,有时用户可以观察到页面异常,如弹出窗口、页面篡改等。
  • 防护措施:主要包括输入过滤和转义、使用 HTTP Only Cookie 防止 JavaScript 访问、实施内容安全策略(CSP)等。

总结来说,CSRF 侧重于利用用户的权限执行恶意操作,而 XSS 则侧重于通过注入脚本控制用户的浏览器环境。两者都需要网站开发者采取相应的安全措施来防范。

常见的 CSRF 手段:

  1. 构造恶意链接:攻击者可以在恶意网站上创建一个包含恶意请求的链接,并诱使受害者点击该链接。当受害者登录到目标网站时,浏览器会自动发送包含受害者身份验证信息的请求,从而执行恶意操作。

  2. 钓鱼邮件:攻击者可以通过钓鱼邮件或社交工程技术诱使用户点击包含 CSRF 攻击的链接。这些邮件可能会伪装成来自可信任机构或朋友的邮件,以增加受害者的信任度。

  3. 跨站脚本(XSS)利用:如果目标网站存在 XSS 漏洞,攻击者可以利用该漏洞注入恶意脚本,并将其触发以执行 CSRF 攻击。这种攻击通常会利用受害者的会话来执行恶意操作。

  4. 社交工程:攻击者可以利用社交工程技术欺骗用户在目标网站上执行特定的操作,例如点击一个看似无害的按钮或链接,而实际上这些操作会执行恶意请求。

  5. 利用第三方应用程序漏洞:如果目标网站与第三方应用程序集成,并且存在漏洞,则攻击者可以通过利用这些漏洞来执行 CSRF 攻击。

前端小小王
关注
  • 10
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF攻击原理与解决方法
缘来侍你的博客
02-17 2万+
一、 前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击的原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大家
CSRF 攻击详解
只为成功找方法 不为失败找借口
05-22 932
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
CSRF攻击
一心一意码代码
03-13 508
一、什么是CSRF 攻击? 全称是Cross Site Request Forgery,即跨站请求伪造。利用用户已经登录的状态,跨站点发起伪造的请求。一般会诱导用户点击进黑客的网页。 特点: 跨站点的请求 请求是伪造的 利用用户的登录状态 二、CSRF类型 2.1 按照请求类型分为GET型和POST型。 例: GET型 目标网站A:www.a.com、恶意网站:B:www.b.com 攻击步骤 在恶意网站上编写代码<img src=http://www.a.com/blog/del?id=1&g
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
CSRF攻击模拟
weixin_35754962的博客
01-04 142
CSRF 攻击是一种网络攻击,其目的是在用户不知情的情况下让用户执行恶意操作。攻击者会在用户浏览的网站上嵌入恶意代码,当用户访问该网站时,恶意代码就会自动执行。攻击者可以通过这种方式来窃取用户的敏感信息,或者在用户不知情的情况下购买商品或服务。为了防止 CSRF 攻击,网站可以使用验证机制,例如在用户提交表单时要求输入验证码,或者使用令牌机制来验证用户的身份。 ...
csrf攻击 java_Web常见攻击手段-CSRF攻击
weixin_34797871的博客
02-21 195
什么是CSRF攻击?跨站请求伪造(Cross-Site Request Forgery, CSRF),恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。尽管听起来跟XSS跨站脚本攻击有点相似,但事实上CSRFXSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自...
CSRF攻击简述
辉哥的博客
03-22 3018
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚...
如何防止CSRF攻击?
ccyzq的博客
03-17 4251
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
CSRF攻击原理以及防御方法
biubiubiubibibi的博客
10-18 339
CSRF攻击原理以及防御方法
Flask模拟实现CSRF攻击的方法
09-20
主要介绍了Flask模拟实现CSRF攻击的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CSRF攻击的应对之道
01-30
CSRF(Cross ...然而,该攻击方式并不为大家所熟知,很多网站都有CSRF安全漏洞。本文首先介绍 CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
Python Django框架防御CSRF攻击的方法分析
09-18
主要介绍了Python Django框架防御CSRF攻击的方法,结合实例形式分析了Python Django框架防御CSRF攻击的原理、配置方法与使用技巧,需要的朋友可以参考下
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
模板引擎与 XSS 防御
最新发布
A526847的博客
06-17 427
在当前流行的 MVC 框架中,View 层常用的技术是使用模板引擎对页面进行渲染,比如在“跨站脚本攻击”一章中所提到的 Django,就使用了 Django Templates 作为模板引擎。但是正如前文所述,最好的 XSS 防御方案,在不同的场景需要使用不同的编码函数,如 果统一使用这 5 个字符的 HtmlEncode,则很可能会被攻击者绕过。同时在模板系统中,搜索不安全的 变量也有了依据,甚至在代码检测工具中,可以自动判断出需要使用哪一种安全的编码方法, 这在安全开发流程中是非常重要的。
JS中一个dom元素能绑定多少事件
ggq53219的博客
06-10 586
JavaScript中,一个DOM元素可以绑定的事件数量并没有明确的限制,这主要取决于浏览器的实现和内存限制。然而,在实际应用中,为同一个DOM元素绑定过多的事件监听器可能会导致性能问题,尤其是在事件处理函数执行复杂操作的情况下。总之,虽然JavaScript中DOM元素可以绑定的事件数量没有明确的限制,但在实际应用中应注意避免过度绑定和优化事件处理函数,以确保良好的性能和用户体验。
Web前端网站设计案例:深入剖析创意与技术的完美融合
liyrbtqe_66w的博客
06-12 314
在性能优化方面,设计师通过压缩代码、减少HTTP请求、使用CDN等技术手段,提升了网站的加载速度和响应性能,为用户提供了更加流畅的访问体验。综上所述,本Web前端网站设计案例通过视觉设计、用户体验、技术实现、性能优化、创意表达、响应式设计和跨平台兼容等方面的综合考量,成功打造了一款既美观又实用的网站。这个案例充分展示了Web前端设计的魅力和潜力,为未来的网站设计提供了有益的借鉴和启示。设计师通过独特的视觉元素和创意构思,将品牌理念和文化内涵融入其中,使得整个网站在传达信息的同时,也展现出品牌的独特魅力。
HTML入门教程:深度解析HTML,开启你的前端技术之旅
zhangwenok的博客
06-14 1310
HTML(HyperText Markup Language,超文本标记语言)是前端开发的基础,它负责构建网页的结构和内容。作为前端技术栈的基石,HTML的掌握程度直接影响到网页的开发效率和用户体验。本教程将带你从零开始,逐步深入了解HTML的各个方面,帮助你打下坚实的前端技术基础。HTML是一种用于创建网页的标准标记语言,它通过一系列的元素(elements)和标签(tags)来定义网页的结构和内容。HTML文档由一系列的元素组成,这些元素通过标签来标识。
CSRF 攻击 攻击原理
06-11
CSRF攻击的工作原理是攻击者构造一个恶意请求,然后诱导用户访问带有恶意请求的页面。当用户访问该页面时,浏览器会自动发送请求到Web应用程序,由于请求中包含了用户的合法身份认证信息(如cookie等),Web应用程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值