CSRF攻击原理

最新推荐文章于 2022-02-17 17:41:59 发布
最新推荐文章于 2022-02-17 17:41:59 发布
阅读量358 收藏 1
点赞数 1
原文链接:http://www.cnblogs.com/wdz1226/p/10610540.html
版权

 

  跨站请求伪造和跨站请求保护的实现

 图中browse是浏览器,webserveA是受信任网站/被攻击网站A,webserverB是恶意网站/攻击网站B

    

    1.一开始用户打开浏览器,访问受信任网站A,输入用户名和密码登录请求网站A

  2.网站A验证验证用户信息,用户信息通过验证,网站A产生Cookie信息并返回给浏览器

  3.用户登录网站A成功后,可以正常请求网站A

  4.用户未退出网站 A 之前,在同一浏览器中,打开一个TAB 访问网站 B。

  5.网站 B 看到有人方式后,他会返回一些攻击性代码。
  6.浏览器在接受到这些攻击性代码后,促使用户不知情的情况下浏览器携带 Cookie(包括
sessionId)信息,请求网站 A。这种请求有可能更新密码,添加用户什么的操作。

 

从上面 CSRF 攻击原理可以看出,要完成一次 CSRF 攻击,需要被攻击者完成两个步骤:
1.登陆受信任网站 A,并在本地生成 COOKIE。
2.在不登出 A 的情况下,访问危险网站 B。
如果不满足以上两个条件中的一个,就不会受到 CSRF 的攻击,以下情况可能会导致 CSRF:
1.登录了一个网站后,打开一个 tab 页面并访问另外的网站。
2.关闭浏览器了后,本地的 Cookie 尚未过期,你上次的会话还没有已经结束。(事实上,关闭浏
览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了……)

 

解决办法:就是在表单中添加 from.csrf_token

转载于:https://www.cnblogs.com/wdz1226/p/10610540.html

weixin_30877227
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF攻击原理与防御方法
墨痕诉清风的博客
02-25 4585
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
CSRF攻击原理及防御和相关漏洞复现
qq_43710889的博客
08-08 1708
CSRF攻击原理及防御和相关漏洞复现 CSRF(Cross-site request forgery)跨站请求伪造,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 CSRF攻击原理及过程: 过程 1.用户打开浏览器,访问受信任银行网站,输入用户名密码请求陆网站 2.在
了解cookie以及cookie跨站点伪造攻击(CSRF)
我的专栏
05-15 2779
背景知识: 很久很久以前,Web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要纪录谁在某一段时间里浏览了什么 文档,每次请求都是一个新的Http协议,就是请求加响应,尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我 来说是全新的,这段时间很嗨皮。 但是,随着交互式Web应用的兴起,像在线购物网站,需要录的网站等等,马上就面临一个问题,那就是要管理回话, 必须记住那些人录系统,那些人往自己的购物车中放商品,也就是说我必须把每个人区分开,这就是一个不小的挑战, 因为HTTP请求是无状态.
csrf攻击原理及防范
小小臭臭的博客
06-05 4627
        CSRF 全拼为 Cross Site Request Forgery, 跨站请求伪造.CSRF指的是攻击者盗用了你的身份,以你的名义发送恶意的请求,给你造成个人隐私泄露及财产安全.        CSRF攻击原理:        ①用户正常录A银行网站,        ②A网站返回cookie信息给用户,浏览器保存cookie信息        ③在A网站没有退出录的情况下...
CSRF 攻击的三种解决方案
willie_chen的专栏
08-23 1万+
验证 HTTP Referer 字段 Referer  是  HTTP  请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含  Referer  , Referer 值会记录下用户的访问来源,有些用户认为这样会侵犯到他们自己的隐私权,特别是有些组织担心 Referer 值会把组织内网中的某些信息泄露到外网中。因此,用户自己可以设置浏览器使其在发...
CSRF攻击原理与解决方法
热门推荐
缘来侍你的博客
02-17 2万+
一、 前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大家
CSRF攻击与防御原理
小晓晓晓林的博客
08-22 2180
CSRF(Cross Site Request Forgery)跨站域请求伪造,是一种网络的攻击方式,它在2007年曾被列为互联网20大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用,也就是人们所知道的钓鱼网站。 CSRF介绍 CSRF攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻...
CSRF攻击原理及防御措施
qq_44169219的博客
11-14 1009
CSRF,即跨站请求伪造(Cross-site request forgery) 攻击原理 用户录受信任网站A,产生cookie 用户访问攻击网站B,网站B返回攻击代码并发出要录网站A的请求 网站A对请求进行验证并确认是用户的cookie,误以为是用户操作 网站A执行攻击代码,攻击完成。 可以理解为:攻击者盗用用户身份,并以用户的名义发送恶意请求。 在服务器看来这个请求是完全合法的,...
CSRF攻击原理与防范
## 1.2 CSRF攻击原理 攻击者诱使用户在受信任的网站上执行操作(如点击链接、访问图片),使受害者在不知情的情况下完成攻击者设计的操作,例如发起一笔转账或修改个人信息。 ## 1.3 CSRF攻击的危害 CSRF攻击可能...
uuidgen.exe
08-29
Windows 8 SDK 此 SDK 于 2012 年 11 月发布,可用于创建适用于 Windows 8 或更早版本的 Windows 应用 () 使用 Web 技术、本机和托管代码;或使用本机或托管编程模型的桌面应用。
vb爬虫程序爬取音乐QZQ.zip
08-29
vb爬虫程序爬取音乐QZQ.zip
Matlab查看机器人地图
08-29
基于Matlab,读取txt数据,以figure窗口图片的形式查看机器人地图,并在其中显示机器人的位置和方向
72编辑距离.zip(算法)
最新发布
08-29
72编辑距离.zip(算法)
pdf转word工具(免费试用)
08-29
pdf to word word to pdf ppt转pdf
基于微信小程序的校园二手交易平台设计与实现.docx
08-29
基于微信小程序的校园二手交易平台设计与实现.docx
酒店数据的python爬虫(thisprojecthasbeenabandoned).zip
08-29
酒店数据的python爬虫(thisprojecthasbeenabandoned)
CSRF攻击原理与防御策略详解
1. **攻击原理**: - 用户C首先在浏览器中访问受信任的网站A(WebA),输入用户名密码进行录。 - 成功录后,网站A会在浏览器中设置Cookie,用于后续的身份验证。 - 用户在不退出WebA的同时,切换至另一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值