csrf(跨站请求伪造)

最新推荐文章于 2022-10-04 18:05:30 发布
最新推荐文章于 2022-10-04 18:05:30 发布
阅读量100 收藏
点赞数
文章标签: python 后端
原文链接:http://www.cnblogs.com/ay742936292/p/11047442.html
版权

一:csrf到底是什么:

  csfr(cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网址。

  具体步骤:

    第一步:登陆正常网站,获取到cookie

    第二步:在没有保存cookie的情况下登陆了黑客网站

    第三步:进行一系列数据操作之后,黑客网站把受益方换作第三方账号,在向正常网站的服务器发出请求(由于携带cookie,正常网站默认合法)

二:csrf攻击防范:

    在正常的网站的form表单中,加入一个隐藏的特殊字符串,后端记下该页面对应的字符串的值,等带用户post请求发过来的时候,先去校验特殊字符串是否匹配。

    在html文件中:

<form action="" method="post">
{#    加入特殊字符串的固定写法#}
    {% csrf_token %}
    <p>username:<input type="text" name="username"></p>
    <p>password:<input type="password" name="password"></p>
    <input type="submit">
</form>

    在view.py中又两种用法:

      一种是在注释掉:'django.middleware.csrf.CsrfViewMiddleware'之后主动保护某个功能:

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_protect
def index2(request):
    return HttpResponse('ok')

      一种是在没有注释掉:'django.middleware.csrf.CsrfViewMiddleware',取消某个功能的保护状态:

from django.views.decorators.csrf import csrf_exempt,csrf_protect
@csrf_exempt
def index1(request):
    return HttpResponse('ok')

  需要注意的是,FBV与CBV的不同:

    csrf-protect:跟正常的FBV一样

    csrf-exempt:只能又下面的两种方式

from django.utils.decorators import method_decorator

@method_decorator(csrf_exempt,name='dispatch')  # 第一种
class Index3(View):
    # @method_decorator(csrf_exempt)   # 第二种
    def dispatch(self, request, *args, **kwargs):
        super().dispatch(request,*args,**kwargs)

    def get(self,request):
        return HttpResponse('get')

    def post(self,request):
        return HttpResponse('post')

    ps:csrf-exempt不能局部禁用,只能全局禁用。

 

转载于:https://www.cnblogs.com/ay742936292/p/11047442.html

weixin_30634661
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django CSRF请求伪造防护过程解析
09-18
CSRF请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网发起对受害者的合法网请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
「第四章」请求伪造(CSRF)
hacckjacking
01-22 497
「第四章」请求伪造(CSRF) 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs ...
保护您的 ASP.NET 应用程序
Lassewang的成长历程
02-03 1304
在上一期中,我讨论了构建 Web 应用程序安全性的重要性,并介绍了包括 SQL 注入和参数篡改在内的一些攻击类型,以及如何防范这些类型的攻击 (msdn.microsoft.com/magazine/hh580736)。 在本文中,我将深入探讨以下两种更常见的攻击,以帮助完善我们的应用程序保护体系:点脚本 (XSS) 和请求伪造 (CSRF)。 您可能很想知道: 只使用生产安全扫
一个比较好用的CSRF请求伪造工具类
孔方子的博客
02-25 667
前言描述:最近项目里,安全测试组发现通过SQL注入可以轻松登录后台管理系统,于是就加了个CSRF请求伪造功能,防止被恶意登录。 以下是代码部分: package com.faw.***.common.xss; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; ...
CSRF请求伪造
qq_26054303的博客
04-27 696
CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求 例如: 你登陆了一个网http://blog.sohu.com 然后你又访问了恶意的网www.abc.com,他构造了一个恶意的请求
CSRF请求伪造,含使用教程和测试工具
05-04
CSRF请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
csrf请求伪造简单示例
10-18
一个简单的csrf请求伪造的示例,只有一个简单的表单提交功能.通过伪造表单提交,完成一个简单的钓鱼案例
CSRF请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
CSRF01】请求伪造——漏洞基础原理及攻防
Fighting_hawk的博客
03-14 4616
1. 理解CSRF的攻击原理; 2. 重点掌握CSRF的三种攻击方式; 3. 了解CSRF的危害; 4. 重点掌握CSRF的防御手段。
CSRF(请求伪造)漏洞
weixin_50464560的博客
08-25 1291
CSRF(Cross-site request forgery) 请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 漏洞危害 修改用户信息,修改密码,以你的名义发送邮件、发消息、盗取你的账号等 攻击条件 用户已登录存在CSRF漏洞的网 用户需要被诱导打开攻击者构造的恶意网 攻击过程 .
请求伪造CSRF
whoim_i的博客
11-24 4794
目录原理解释CSRF分类GET型POST型CSRF漏洞挖掘使用burpsuite快速生成CSRF poc防御手段 原理解释 画个丑图来解释一波 1、 用户输入账号信息请求登录A网。 2、 A网验证用户信息,通过验证后返回给用户一个cookie 3、 在未退出网A之前,在同一浏览器中请求了黑客构造的恶意网B 4、 B网收到用户请求后返回攻击性代码,构造访问A网的语句 5、 浏览器收到攻...
web基础漏洞之CSRF请求伪造漏洞)
m0_62274649的博客
10-04 1271
一些自己的小总结,有待完善
Web Security Academy 伪造请求CSRF
汗的博客
12-08 722
笔者Burpsuite Web 安全学院的学习笔记 Burpsuite Web 安全学院:Cross-site request forgery (CSRF)
白帽子讲web安全之 请求伪造CSRF
hhh
03-02 364
白帽子讲web安全之 请求伪造CSRF) (有些内容纯属个人理解,如有错误请不吝指正) CSRF简介 本质: 在用户不知道的情况下,攻击者猜解出了一个正确的url,伪造访问请求并且成功访问了此url下的内容。 浏览器的cookie策略 在攻击者进行CSRF攻击时,会遇到一个问题,即要做到成功访问某些页面是需要认证的。这就涉及了cookie。 cookie分为:Session Coo...
CSRF请求伪造
一条单行线
05-13 217
CSRF请求伪造 请求伪造通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟脚本XSS相比,XSS利用的是用户对指定网的信任,CSRF利用的是网对用户浏览器的信任,浏览器对于同一domain下所有请求会自动携带cookie。 原理 用户A正常打开网B,并且成功登录获取cookie 用户A未退出网B,在同一个浏览器中打开新的TAB访问了网C 网C的页面存有一些攻击性的代码,会发出对于网B的一个访问请求 浏览器收到请求后,在用
java 伪造请求_AppScan漏洞扫描之-请求伪造
weixin_33458169的博客
02-25 546
解决方案:增加一个过滤器,当请求头Referer中包含扫描里的http://bogus.referer.hcl.com时,禁止访问/******************************************************************************** @(#)CSRFilter.java 2020/4/7** Copyright 2020 emrubik...
前端安全问题——CSRF请求伪造
godming的博客
12-06 333
CSRF请求伪造(Cross—Site Request Forgery) 我们可以这样理解: 用户登录,网A核查身份是否正确,正确就下发cookie,cookie会保存在用户的浏览器中,这就完车了一次身份认证的过程,接下来呢,用户又访问了一个网B,网B在给用户返回页面的时候,会携带一个引诱性的点击,这个点击往往是一个链接,这个链接一般就是网A的API接口。当用户点击了这个链接后,这个...
CSRF请求伪造漏洞
最新发布
12-06
CSRF(Cross-site request forgery)请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网上设置陷阱,引诱用户点击链接或者访问页面,从而触发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值