博客园的CSRF

最新推荐文章于 2024-09-10 14:26:18 发布
最新推荐文章于 2024-09-10 14:26:18 发布
阅读量75 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/zhaodyun/archive/2013/05/29/3105489.html
版权

CSRF全称 Cross Site Request Forgery,跨站请求伪造。通俗理解:攻击者盗用当前用户身份,发请当前用户的恶意请求:如邮件,银行转账等。 


CSRF原理 




CSRF过程 
登录网站A,生成本地Cookie信息;登录危险网站B,B获取网站A的内容,并向A发送请求操作,若成功,则CSRF过程成功。其中登录B网站,行为可以是点击网站A中的链接链接。 

CSRF攻击实践 
1.若网站A通过GET方式访问银行(假设)完成转账:http://www.bank.com/transfer.php?toBankId=3206&money=1000。如果是通过GET方式访问,授权信息存储在cookie中。 
2.B页面中生成img标签,src设置为A页面中的转账链接:http://www.bank.com/transfer.php?toBankId=3206&money=1000,但toBankId改成黑客的的账号,因为登录信息在cookie中,在chrome,firefox等多页签浏览器中,同域名请求可以带上同域名的cookie内容 

预防措施 
1.随机参数 
攻击者不能获得第三方的Cookie(理论上),A页面使用加密随机参数,在同一个会话范围内使用同一个加密随机参数,如md5("defenseSCRF" + new Date().getTime() + 3600),在第个请求中加入随机参数。 

后台校验:getSession().get("stoken_name") == $pToken 
2.验证码 

 

转载一篇文章来凑够200字数~~

原文链接:http://haiyupeter.iteye.com/blog/1842780

 

最后:

很简单,看我粉丝数及这篇文章的推荐数就明白喽!

嘟嘟你不禁用首页JS就算了,总得加上token吧!

转载于:https://www.cnblogs.com/zhaodyun/archive/2013/05/29/3105489.html

weixin_30653023
关注
网络安全 kali Web安全之CSRF攻击
xueshenlaila的博客
03-16 893
CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。
浅谈CSRF攻击方式(转自博客园的hyddd(陈曦明))
weixin_42662301的博客
01-16 217
https://www.cnblogs.com/wangyuyu/p/3388169.html
DVWA 之 CSRF
RexHa的博客
09-30 7663
CSRF,跨站域请求伪造,通常攻击者会伪造一个场景(例如一条链接),来诱使用户点击,用户一旦点击,黑客的攻击目的也就达到了,他可以盗用你的身份,以你的名义发送恶意请求。
CSRF 攻击
Genius only means hard-working all one's life.
03-05 213
CSRF 攻击 CSRF(Cross Site Request Forgery 跨站点请求伪造) 什么是CSRF 攻击 直接举例说明 常见CSRF攻击 假设有一个加关注的GET接口[FollowBlogger],参数userGuid是被关注人ID,如: http://www.frankcyoung.com/mvc/Follow/FollowBlogger.aspx?userGuid=4e8c33d...
预防CSRF攻击
大鸡腿的博客
05-18 182
Cross Site Request Forgery,中文是:跨站点请求伪造。 CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下: http://www.cnblogs...
CSRF记录
sinat_38240913的博客
03-05 158
跨域Ajax请求时是否带Cookie的设置_wzl002的专栏-CSDN博客_ajax请求头设置cookie
Web安全之CSRF攻击
dhklsl的专栏
11-27 569
CSRF是什么? CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个例子 简单版: 假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下
CSRF---跨站请求伪造
monster0319的博客
03-09 940
攻击原理: 攻击者利用用户在浏览器中保存的认证信息,向对应的站点发送伪造请求。用户的认证是通过保存在cookie中的数据实现,在发送请求是,只要浏览器中保存了对应的cookie,服务器端就会认为用户已经处于登录状态。 攻击示例: 某个银行转账链接:http://localhost:22699/Home/Transfer;传的参数name="TargetUser"、name="Amount" 网站源码: <html> <head> <meta http-eq
python csrf token_python接口自动化12-案例分析(csrfToken)
weixin_39758032的博客
12-08 202
前言:有些网站的登录方式跟前面讲的博客园和token登录会不一样,把csrfToken放到cookie里,登录前后cookie是没有任何变化的,这种情况下如何绕过前端的验证码登录呢?一、登录前后对比1.如果登录页面有图形验证码,这种我们一般都是绕过登录的方式,如下图通过抓包分析,首先不输入密码,抓包(由于这个是别人公司内部网站,所以网址不能公开,仅提供解决问题的思路)2.在登录页面输入账号和密码手...
一个简单的小项目博客园(2)登录、注册页面
番茄炒蛋君的博客
09-16 897
目录: 注册功能(使用forms组件) 注册功能(使用forms组件) 解耦合在app01中创建myforms.pyfrom django import forms from django.forms import widgets from app01 import models class RegForm(forms.Form): username = forms.Char...
《Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8356
最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
【笔记】Web安全:CSRF跨站请求伪造
qq_41042211的博客
06-15 306
什么是CSRF CSRF发生的原理 怎么发现CSRF漏洞 CSRF漏洞的防止
好看又有趣的数据可视化图表制作,膜拜教程
running_elephant的博客
04-06 1315
概述 datart 是国内做的很好的数据可视化开源社群 今天整理了社群大佬小包两个没有拿去参加 datart 数据可视化图表插件开发大赛的作品。 1、手绘风格 2、3D 地图 是数据可视化图表中两个非常亮的点,无论是从功能还是视觉上,都让人耳目一新,为之惊叹。 作品:手绘风格(D3) 关于手绘风格,在上一篇中有提到,本以为是iframe嵌套导致的,后来官方给了去掉iframe的配置的方法进行了尝试,发现不是这个原因,因为时间较为紧迫还没来得及找到原因,后面会专门腾出时间来弄这个。 就是说其实
PHP智驭未来悦享生活智慧小区物业管理小程序系统源码
2401_84413757的博客
09-10 546
它集成了多项实用功能,无论是业主还是物业管理人员,都能通过简单的一键操作,轻松实现小区的日常管理。无论是清晨的晨跑,还是夜晚的归家,都不再需要为这些琐事烦恼,真正实现了“智驭未来,悦享生活”。无论是分享生活的点滴,还是参与社区的各类活动,都能让业主们感受到家的温暖和归属感。而今天,我要带大家走进的,正是这股智慧浪潮中的一股清流——“智驭未来悦享生活”智慧小区物业管理小程序。“智驭未来悦享生活”智慧小区物业管理小程序的出现,不仅为小区管理带来了革命性的变革,更为我们描绘了一幅未来生活的美好蓝图。
以太坊开发环境
禅与代码的艺术
09-07 1405
详细讨论了以太坊测试网络和私有网络。在初步介绍了私有网络设置之后,演示了如何使用 Geth 命令行工具执行各种功能,以及如何与以太坊区块链进行交互。还讨论了如何使用 Mist 来部署合约和发送交易。
【2025】基于PHP职业病健康管理系统(源码+论文+部署讲解等)
程序员阿龙的博客
09-10 1769
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
Thinkphp5实现一周签到打卡功能
最新发布
Crazy_shark的博客
09-10 650
以上是一个简单的 ThinkPHP5 实现一周签到打卡功能的示例。通过设计合适的数据库结构和控制器逻辑,你可以轻松实现用户签到和连续签到天数统计功能。在实际应用中,可能需要考虑更多的细节,如用户身份验证、签到奖励、接口优化等。
PLC(电力载波通信)网络机制介绍
u010467490的博客
09-08 1297
电力载波通讯即PLC,是英文Power line Carrier的简称。电力载波是电力系统特有的通信方式,电力载波通讯是指利用现有电力线,通过载波方式将模拟或数字信号进行高速传输的技术。最大特点是不需要重新架设网络,只要有电线,就能进行数据传递。CCO在所有相线上工作,STA只在一个相线上工作,不同相位具有不同的过零时间,CCO通过采集STA的过零时间确定STA的相位时分多址传输,设备独占间隙,数据包根据指定时间进行发送载波侦听多路访问/冲突检测,设备共同占有间隙,判断信道空闲,竞争进行发送。
博客园自定义右键菜单实现步骤解析
"在博客园博文中添加自定义右键菜单的方法详解" 这篇博文主要介绍了如何在博客园的博文中实现自定义的右键菜单功能,包括页面设计、菜单逻辑的实现以及位置判断的细节。 在**页面设计**阶段,作者建议将自定义的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值