CSRF漏洞原理/防御

已于 2024-06-23 17:22:51 修改
阅读量1.5w 收藏 2
点赞数 3
分类专栏: 网络安全面试题汇总 文章标签: csrf 渗透测试 网络安全 web安全 安全
于 2021-07-12 15:50:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/118676720
版权

CSRF 网络安全 身份验证 Referer Token
关键词由CSDN通过智能技术生成

 「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

CSRF( 跨站请求伪造 ) 

原理

CSRF是指攻击者利用已登录的用户身份 , 伪造用户请求 , 从而执行非法操作

触发点/检测

 CSRF常出现在留言,论坛,后台管理,用户中心等功能

CSRF有三个前提

        第一 , 目标用户处于登录状态

        第二 , 后端代码逻辑不严谨 , 没有验证用户身份

        第三 , 也是最重要的一点 , 用户点击恶意链接

检测CSRF最简单的方法就是抓取一个正常请求的数据包,去掉Referer再提交,如果提交还有效,就说明存在CSRF

防御

CSRF的防御主要在于验证用户身份 , 比如 验证 HTTP Referer , 验证 Token令牌

        Referer用来确定请求的源地址,只要请求不是来自自家网站,就拒绝请求

        除了Referer以外,也可以通过自定义的HTTP header来验证请求来源

        而Token就像是用户的唯一标识,随机生成Token分别保存在客户端和服务端

        提交请求的时候验证Token,Token不匹配,就拒绝请求

士别三日wyx
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CSRF漏洞原理防御
m0_61506558的博客
08-22 520
本文基于靶场,对CSFR进行阶段性总结,后续通过实战会不断总结,完善。对CSRF做了个归纳,以后会慢慢优化!!!
CSRF漏洞——原理防御
cldimd的博客
03-21 6884
CSRF漏洞原理 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的r...
CSRF漏洞原理防御方式
dreamthe的博客
09-17 2025
CSRF漏洞原理 CSRF被叫做跨站请求伪造,该怎么理解这句话呢,比如 用户a在浏览器登录了账号,当他发送登录请求时候,服务器验证了账号密码,会返回给一个身份信息存放在cookie里面,浏览器保存,那么以后用户访问服务器带着这个cookie就行了。那么怎么产生攻击的呢,是用户在已经登录的状态下,访问了一个恶意的网站,带浏览器保存的cookie值向服务器发送了恶意请求,服务器会以为是用户的请求,其实这是用户不知情的请求。垮了两个站,一个是用户登录实际网站,一个屙屎攻击者恶意构造网站,所以称作跨站请求伪造。
CSRF漏洞原理攻击与防御(非常细)
热门推荐
hello
04-02 3万+
CSRF漏洞原理攻击与防御 目录CSRF漏洞原理攻击与防御一、什么是CSRF?二、CSRF攻击原理及过程三、CSRF分类1. GET类型的CSRF2. POST类型的CSRF四、CSRF漏洞的挖掘五、CSRF漏洞防御1、验证码2、在请求地址中添加 token 并验证3、在 HTTP 头中自定义属性并验证4、验证 HTTP Referer 字段总结 提示:以下是本篇文章正文内容,下面案例可供参考 一、什么是CSRF? CSRF (Cross-site request forgery,跨站请求伪造)也被称为
csrf漏洞防御方案_CSRF 漏洞原理详解及防御方法
weixin_35474374的博客
01-14 2949
跨站请求伪造:攻击者可以劫持其他用户进行的一些请求,利用用户身份进行恶意操作。例如:请求http://x.com/del.php?id=1是一个删除ID为1的账号,但是只有管理员才可以操作,如果攻击者把这个页面嵌套到其他网站中“http://x.com/del.php?id=1”> 再把这个页面发送给管理员,只要管理员打开这个页面,同时浏览器也会利用当前登陆的这个管理账号权限发出:http:...
csrf漏洞java防御,CSRF漏洞原理防御
weixin_33509141的博客
03-12 480
CSRF 全称:Cross Site Request Forgery,译:跨站请求伪造场景点击一个链接之后发现:账号被盗,钱被转走,或者莫名发表某些评论等一切自己不知情的操作。CSRF是什么csrf 是一个可以发送http请求的脚本。可以伪装受害者向网站发送请求,达到修改网站数据的目的。原理当你在浏览器上登录某网站后,cookie会保存登录的信息,这样在继续访问的时候不用每次都登录了,这个大家都知...
CSRF漏洞原理攻击与防御
最新发布
A526847的博客
05-13 1119
了解CSRF的机制之后,危害性我相信大家已经不言而喻了,我可以伪造某一个用户的身份给其好友发送 垃圾信息,这些垃圾信息的超链接可能带有木马程序或者一些欺骗信息(比如借钱之类的),如果CSRF 发送的垃圾信息还带有蠕虫链接的话,那些接收到这些有害信息的好友万一打开私信中的链接就也成为 了有害信息的散播着,这样数以万计的用户被窃取了资料种植了木马。而如果黑客要 对银行网站实施 CSRF 攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行 时,该请求的 Referer 是指向黑客自己的网站。
DWVA之csrf漏洞原理防御及练习
m0_71635484的博客
03-16 434
DWVA之csrf漏洞原理防御及练习
CSRF攻击原理防御措施
qq_44169219的博客
11-14 999
CSRF,即跨站请求伪造(Cross-site request forgery) 攻击原理 用户登录受信任网站A,产生cookie 用户访问攻击网站B,网站B返回攻击代码并发出要登录网站A的请求 网站A对请求进行验证并确认是用户的cookie,误以为是用户操作 网站A执行攻击代码,攻击完成。 可以理解为:攻击者盗用用户身份,并以用户的名义发送恶意请求。 在服务器看来这个请求是完全合法的,...
CSRF漏洞的靶场实验
09-19
在“CSRF漏洞的靶场实验”中,我们将通过实际操作来理解这种攻击方式以及如何防御。 首先,我们需要了解CSRF攻击的基本原理。当用户访问一个网站并登录后,浏览器会保存一个叫做会话(Session)的状态,使得用户在...
csrf漏洞.rar
09-15
在"csrf漏洞.txt"文件中,可能详细列出了如何在实际应用中采用上述防御策略,包括如何在前端添加和验证Token,以及如何在后端处理请求时进行安全检查。具体实践步骤可能包括: 1. 在每个需要保护的表单中,添加一个...
基础漏洞csrf挖掘实战
10-07
**CSRF攻击原理** 在 CSRF 攻击中,攻击者首先需要确定受害者已经登录了目标网站,并获取了有效的身份认证。然后,攻击者创建一个包含恶意HTTP请求的页面或链接,诱导受害者访问。当受害者打开这个页面时,其浏览器...
9、CSRF原理.pdf
10-15
2. 尽量少用或不要用request()类变量,获取参数指定request.form()还是request.querystring(),这样有利于阻止CSRF漏洞攻击,此方法只不能完全防御CSRF攻击,只是一定程度上增加了攻击的难度。 其他防御方法 1. ...
基于JSP的Java Web项目的CSRF防御示例
01-07
**基于JSP的Java Web项目的CSRF防御示例** 在Web开发中,跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种常见且危险...通过这样的防御机制,我们可以有效地防止攻击者利用CSRF漏洞对用户和系统造成损害。
反序列化漏洞原理防御方式
wangyuxiang946的博客
07-18 1万+
攻击者通过构造恶意的参数,使数据在在反序列化后生成特殊的对象类型,从而执行恶意代码 问题的根源在于,反序列化时没有对生成的对象类型做限制
路由器/交换机工作原理(RIP/OSPF协议工作原理)
wangyuxiang946的博客
08-01 1万+
作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。
DNS原理/解析过程
wangyuxiang946的博客
06-20 1万+
DNS协议属于应用层, 使用UDP协议传输( 服务器之间的备份使用TCP ) , 作用在于 将域名映射为IP地址
提权方式及原理
wangyuxiang946的博客
07-25 1万+
通过getshell控制Web服务器后,通常权限很低,需要通过一些方式来提升权限
"深入了解CSRF攻击及防御
通过学习这门课程,学生将能够更好地理解CSRF的特点和原理,学会如何利用CSRF攻击,以及如何预防和防御CSRF漏洞。 在课程中,学生将学习到CSRF的概念和介绍,了解其攻击原理和危害。同时,课程还将深入讲解CSRF的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值