CSRF攻击原理

最新推荐文章于 2020-05-15 11:27:23 发布
最新推荐文章于 2020-05-15 11:27:23 发布
阅读量354 收藏 1
点赞数 1
原文链接:http://www.cnblogs.com/wdz1226/p/10610540.html
版权

 

  跨站请求伪造和跨站请求保护的实现

 图中browse是浏览器,webserveA是受信任网站/被攻击网站A,webserverB是恶意网站/攻击网站B

    

    1.一开始用户打开浏览器,访问受信任网站A,输入用户名和密码登录请求网站A

  2.网站A验证验证用户信息,用户信息通过验证,网站A产生Cookie信息并返回给浏览器

  3.用户登录网站A成功后,可以正常请求网站A

  4.用户未退出网站 A 之前,在同一浏览器中,打开一个TAB 访问网站 B。

  5.网站 B 看到有人方式后,他会返回一些攻击性代码。
  6.浏览器在接受到这些攻击性代码后,促使用户不知情的情况下浏览器携带 Cookie(包括
sessionId)信息,请求网站 A。这种请求有可能更新密码,添加用户什么的操作。

 

从上面 CSRF 攻击原理可以看出,要完成一次 CSRF 攻击,需要被攻击者完成两个步骤:
1.登陆受信任网站 A,并在本地生成 COOKIE。
2.在不登出 A 的情况下,访问危险网站 B。
如果不满足以上两个条件中的一个,就不会受到 CSRF 的攻击,以下情况可能会导致 CSRF:
1.登录了一个网站后,打开一个 tab 页面并访问另外的网站。
2.关闭浏览器了后,本地的 Cookie 尚未过期,你上次的会话还没有已经结束。(事实上,关闭浏
览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了……)

 

解决办法:就是在表单中添加 from.csrf_token

转载于:https://www.cnblogs.com/wdz1226/p/10610540.html

weixin_30877227
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF攻击【重点】
qq_45844654的博客
04-13 302
XSS、SQL注入 1.什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写 Larave框架中避免CSRF攻击很简单,Larave自动为每个用户Session生成了一个CSRF Token。该Token可用于验证登录用户和发起请求者是否是同一个人,如果不是则请求失败【该原理和验证码的原理一样】 Larave提供了一个全局帮助函数csrf_t...
CSRF 攻击
无知小九的博客
08-10 1726
这种方法解决了使用 cookie 单一验证方式时,可能会被冒用的问题,但是这种方法存在一个缺点就是,我们需要给网站中的所有请求都添加上这个 token,操作比较繁琐。第三种方式使用双重 Cookie 验证的办法,服务器在用户访问网站页面时,向请求域名注入一个Cookie,内容为随机字符串,然后当用户再次向服务器发送请求的时候,从 cookie 中取出这个字符串,添加到 URL 参数中,然后服务器通过对 cookie 中的数据和参数中的数据进行比较,来进行验证。同时这种方式不能做到子域名的隔离。...
了解cookie以及cookie跨站点伪造攻击(CSRF)
我的专栏
05-15 2646
背景知识: 很久很久以前,Web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要纪录谁在某一段时间里浏览了什么 文档,每次请求都是一个新的Http协议,就是请求加响应,尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我 来说是全新的,这段时间很嗨皮。 但是,随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理回话, 必须记住那些人登录系统,那些人往自己的购物车中放商品,也就是说我必须把每个人区分开,这就是一个不小的挑战, 因为HTTP请求是无状态.
CSRF 攻击的三种解决方案
热门推荐
willie_chen的专栏
08-23 1万+
验证 HTTP Referer 字段 Referer  是  HTTP  请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含  Referer  , Referer 值会记录下用户的访问来源,有些用户认为这样会侵犯到他们自己的隐私权,特别是有些组织担心 Referer 值会把组织内网中的某些信息泄露到外网中。因此,用户自己可以设置浏览器使其在发...
csrf攻击原理及防范
小小臭臭的博客
06-05 4606
        CSRF 全拼为 Cross Site Request Forgery, 跨站请求伪造.CSRF指的是攻击者盗用了你的身份,以你的名义发送恶意的请求,给你造成个人隐私泄露及财产安全.        CSRF攻击原理:        ①用户正常登录A银行网站,        ②A网站返回cookie信息给用户,浏览器保存cookie信息        ③在A网站没有退出登录的情况下...
Flask模拟实现CSRF攻击的方法
09-20
## CSRF 攻击原理 1. 用户在浏览器中打开一个合法网站(WebA),并登录成功,此时服务器会设置一个包含用户身份信息的 Cookie。 2. 用户在同一个浏览器中打开了另一个网站(WebB),这个网站由攻击者控制。 3. 攻击...
SpringSecurity的防Csrf攻击实现代码解析
08-24
Csrf 攻击原理: 1. 攻击者构造恶意的 HTML 表单,例如:<form action="http://example.com/transfer" method="post"><input type="hidden" name="amount" value="1000"/> 2. 用户在不知情的情况下,点击该表单,...
9、CSRF原理.pdf
10-15
CSRF攻击原理 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击类型,它利用用户对网站的信任,通过欺骗用户浏览器,执行非法操作。以下是CSRF攻击原理和防御方法: CSRF攻击原理 1. 用户...
CSRF攻击的应对之道
01-30
CSRF(Cross SiteRequestForgery,跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的...CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如
Python Django框架防御CSRF攻击的方法分析
09-18
首先,我们需要了解Django防御CSRF攻击的基本原理: 1. **生成CSRF令牌**:当Django渲染HTML模板时,它会在每个需要防护的POST表单中添加一个名为`<input type="hidden" name="csrfmiddlewaretoken" value="..." />...
2014大物B2_A卷.pdf
最新发布
07-04
2014大物B2_A卷
2_5函数的微分——时老师.pptx
07-04
2_5函数的微分——时老师
西子奥的电梯斯维保员工技能提升计划服务器的使用教程(工程中心学习培训课件).ppt
07-04
西子奥的电梯斯维保员工技能提升计划服务器的使用教程(工程中心学习培训课件).ppt
基于单片机的旋转变压器—数字转换器的研究
07-04
旋转变压器---数字转换器作为现代伺服系统中被广泛使用的角位置测量系统,大量应用于高精度及大中型数控系统、机器人控制、工业控制、武器火力控制及惯性导航领域中。 传统的角测量系统面临的问题有:体积、重量、功耗偏大,调试、误差补偿试验复杂,费用较高。本文从微型化、智能化的方向进行研究,是解决传统角测量系统所面临问题的好途径。 本文所研究的旋转变压器---数字转换器是由信号调理模块、系统芯片C8051F064和输出控制模块组成的。整个系统的三路输入信号为X=AsinOcosar、Y=Acosθcos ot和Z=Ucosar(基准信号),输出信号为偏转角θ,输出形式为16 位数字量。信号调理模块是由模拟电路组成的,包括信号输入电路、相敏整流电路、滤波电路和直流稳压电源电路,其难点在于相敏整流电路的设计。信号调理模块的主要功能是把输入的交流信号X=AsinOcosor、Y=Acosθcosot转变成直流信号Bsinθ和Bcosθ,并使输出的直流信号在0~2.4V之间;系统芯片C8051F064是CYGNAL公司近年来推出的一款功能齐全的完全集成的混合信号片上系统型单片机。在本文所设计的系统中,系统芯片的输入信号为直流信号Bsinθ和Bcosθ,通过片内自带的2个16位A/D转换器对输入信号的数据进行采样和转换,并对转换完的数据进行滤波处理,以减小由于外界干扰而产生的误差,再用除法和反正切函数解算出偏转角θ的16位数字量;输出控制模块主要完成的功能是通过UARTO向计算机实时发送由单片机计算出来的偏转角度0的16位数字量,而串口的RS-232电平与单片机系统采用的是TTL电平之间的转换所采用的转换芯片是MC1488和MC1489。
vue开发教程&案例&相关项目.pdf
07-04
Vue相关项目 Vue生态系统中有许多优秀的开源项目,以下是一些值得关注的Vue项目: vue-pure-admin:一个基于Vue3、Vite、Element-Plus等技术的后台管理系统模版,具有易用性、可扩展性和性能优化等优点。 Geeker Admin:一款基于Vue3、TypeScript、Vite等技术的开源后台管理框架,提供了丰富的功能和活跃的社区支持。 ChatGPT Web:一个集成了ChatGPT AI功能的Vue.js前端项目,便于自定义和部署。
电工电子A2 第七章.ppt
07-04
电工电子A2 第七章
linux wifi自动连接脚本
07-04
linux wifi自动连接脚本
CSRF攻击原理与解决方法
07-24
攻击原理: 1. 用户登录受信任的网站A,并在本地生成了相应的会话Cookie。 2. 攻击者诱使用户访问恶意网站B,该网站中包含了针对网站A的恶意请求。 3. 网站B的恶意请求会自动触发用户浏览器发送一个针对网站A的请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值