web客户端安全之跨站点请求伪造攻击

最新推荐文章于 2019-02-20 15:11:00 发布
最新推荐文章于 2019-02-20 15:11:00 发布
阅读量63 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/camille666/p/web_safe_csrf.html
版权

CSRF攻击,Cross-site request forgery,跨站点请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。指攻击者通过跨站请求,以合法的用户的身份进行非法操作。
一、CSRF攻击的原理
攻击者盗用你的身份,以你的名义发邮件,发短信,进行交易转账,向第三方网站发送恶意请求,容易造成个人隐私泄露以及财产安全。

<a href="http://www.harmless.com/" onclick="
  var f = document.createElement('form');
  f.style.display = 'none';
  this.parentNode.appendChild(f);
  f.method = 'POST';
  f.action = 'http://www.example.com/account/destroy';
  f.submit();
  return false;">伪装的链接</a>

二、CSRF攻击的防御
1、采用安全框架,例如Spring Security。
2、引入token机制。在HTTP请求中进行token验证,如果请求中没有token或者token内容不正确,则认为CSRF攻击而拒绝该请求。
CSRF攻击成功的条件在于攻击者能够准确地预测所有的参数从而构造出合法的请求,于是我们可以保持原有参数不变,添加一个参数Token随机值。这样,攻击者因为不知道Token而无法构造出合法的请求进行攻击,所以我们在构造请求时只需保证:

  • Token具有随机性,使攻击者无法准确预测;
  • Token具有一次性,即每次请求成功后要更新Token,增加预测难度;
  • Token具有保密性,敏感操作使用POST,防止Token出现在URL中;

过滤用户输入的内容能阻挡CSRF攻击,我们需要做的是过滤请求的来源,因为有些请求是合法的,有些是非法的,所以CSRF防御主要是过滤那些非法伪造的请求来源
3、验证码。通常情况下,验证码能够很好的遏制CSRF攻击,然而,考虑到用户体验,验证码只能作为一种辅助手段,而不是最主要的解决方案。
4、referer识别。在HTTP Header中有一个字段referer,它记录了HTTP请求的来源地址。如果referer是其他网站,就有可能是CSRF攻击,则拒绝该请求。但是,服务器并非都能取到referer。很多用户出于隐私保护的考虑,限制了referer的发送。在某些情况下,浏览器也不会发送referer,例如从HTTPS跳转到HTTP。referer Check只能用于监控CSRF攻击的发生,而不用来抵御攻击。

转载于:https://www.cnblogs.com/camille666/p/web_safe_csrf.html

weixin_30763455
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防止伪造跨站请求
03-26
标题中的“防止伪造跨站请求”指的是Web应用安全领域中的CSRF(Cross-Site Request Forgery,跨站请求伪造)防护。CSRF攻击是利用用户的已登录状态,诱使用户在不知情的情况下执行非预期的操作,例如转移资金、更改...
web跨站点脚本攻击方式和测试方法.doc
10-11
Web跨站点脚本(XSS)攻击是一种常见且危险的安全漏洞,主要针对Web应用程序。攻击者利用这种漏洞向网页注入恶意脚本,当用户访问受影响的页面时,这些脚本会在用户的浏览器中执行,从而可能导致敏感信息泄露、账户...
如何解决跨站请求伪造
热门推荐
沉底的石头
11-21 3万+
IBM appscan扫描漏洞--跨站请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求攻击者无法猜测这个参数的原因是应用于 cookie  的“同源策
异常详细信息: System.Web.HttpRequestValidationException: 从客户端(fck_content="<span style="bac...")中检测到有潜在危
晴朗_Raymond
04-13 1万+
客户端(fck...)中检测到有潜在危险的 Request.Form 值 <br />keywords: ValidateRequest System Configuration Request.Form FCKeditor Web.Config 潜在危险 应用程序出错 ASP.NET<br />今天写完程序测试的时候,测试文章添加页面,当添加文章的内容过于复杂,及包含特殊字符,样式定义等等的时候,偶尔会出错(编译器用的是FCKeditor),这错误很常见,之前没整理到博客,今天在此发一下。<br />错
System.Web.HttpRequestValidationException异常的最好解决方法
weixin_30629653的博客
04-24 892
客户端(TextBox1="<td>")中检测到有潜在危险的 Request.Form 值。 说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程序请求验证设置,请将 httpRuntime 配置节中的 requestValidationMode 特性设置为 requ...
Http跨站请求伪造解决方案
程序猿开发日志【学习永无止境】
08-01 9220
1.跨站请求伪造 首先,什么是跨站请求伪造跨站请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造你的请求,最可怕的是你还没有察觉并且接收了。听起来确实比较危险,下面有个经典的实例,了解一下跨站请求伪造到底是怎么是实现的,知己知彼。 受害者:Bob 黑客:Mal 银行:bank bob在银行
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
跨站请求伪造(CSRF,Cross-site request forgery)是一种针对Web应用的攻击方式,它利用了用户浏览器的隐式身份验证机制,即Cookie。CSRF攻击跨站脚本(XSS)不同,XSS主要针对的是站点内部的信任用户,而CSRF则...
信息安全技术:WEB攻击概述.pptx
最新发布
11-01
进入Web 2.0时代,攻击方式转向客户端,XSS(跨站脚本攻击)和CSRF(跨站请求伪造)变得更为普遍,黑客利用这些手段操纵浏览器和用户。 **Web安全风险的表现** Web安全风险主要包括以下几个方面: 1. **SQL注入...
跨站请求伪造解决办法之——过滤referer
weixin_34362991的博客
04-06 3846
 当然,referer也是可以伪造的,Http请求本身就没有不能伪造的东西。 所以本方法只能在一定程度上防止非法请求,仅供参考。   项目的web.xml中增加过滤器: &lt;filter&gt; &lt;filter-name&gt;RefererFilter&lt;/filter-name&gt; &lt;filter-class&gt...
System.Web.HttpRequestValidationException:解决方法
weixin_34220963的博客
12-19 374
y 解决方案一: 在.aspx文件头中加入这句: <%@ Page validateRequest="false" %> 解决方案二: 修改web.config文件: <configuration> <system.web> <pages validateRequest="false" /> &lt...
HttpRequestValidationException (0x80004005) 的三种可能的解决方法
weixin_30549657的博客
02-20 907
客户端中检测到有潜在危险的 Request.Form 值 从客户端(txtSupplement="<textarea name="cont...")中检测到有潜在危险的 Request.Form 值。说 明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validate...
System.Web.HttpRequestValidationException解决方法
zhendongzd
04-20 2832
客户端(TextBox1="")中检测到有潜在危险的 Request.Form 值。 说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程序请求验证设置,请将 httpRuntime 配置节中的 requestValidationMode 特性设置为 requestValidationM
HttpRequestValidationException (0x80004005)
一只黄鹂鸣翠柳的专栏
04-18 2293
客户端中检测到有潜在危险的 Request.Form 值从客户端(txtSupplement="说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检查所有输入。异常详细信息: System.Web.HttpRequestValidationException: 从客户端(txtSuppl
System.Web.HttpRequestValidationException检测到有潜在危险的 Request.Form 值
For the third fmvp
02-03 1484
客户端(txtContent=" ...")中检测到有潜在危险的 Request.Form 值。 说明: ASP.NET 在请求中检测到包含潜在危险的数据,因为它可能包括 HTML 标记或脚本。该数据可能表示存在危及应用程序安全的尝试,如跨站点脚本攻击。如果此类型的输入适用于您的应用程序,则可包括明确允许的网页中的代码。有关详细信息,请参阅 http://go.microsoft.com
跨站请求伪造解决方案
weixin_30897079的博客
07-28 352
跨站请求伪造解决方案 AppScan 跨站请求伪造 Token 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 前一篇博客介绍了启用了不安全的HTTP方法的解决方案,有兴趣请移步http://www.cnblogs.com/xlyslr/p/5707995.html。 1.跨站请求伪造 首先,什么...
《白帽子讲Web安全》读书笔记:初探Web安全风险
"《白帽子讲Web安全》读书笔记,涵盖了Web安全的多个重要主题,包括客户端脚本安全、服务端应用安全等,涉及到的攻击类型有跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、点击劫持(ClickJacking)以及HTML5带来的新安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值