跨站点请求伪造(Cross-Site Request Forgery:CSRF)解决方案

最新推荐文章于 2024-07-16 10:30:07 发布
最新推荐文章于 2024-07-16 10:30:07 发布
阅读量750 收藏
点赞数
文章标签: 运维 python
原文链接:https://my.oschina.net/tianshibuzuoai/blog/65274
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

挺倒霉的一件事情,提交上去的项目,被测试组打了回来,原因是。。。给报了200多个跨站点请求伪造漏洞,于是我就去翻资料查阅,这个东西到底是个什么东东,了解后,觉得其实也挺简单的,相应的给出了自己的解决办法,在这里与大家共同分享。。。

首先说明一下什么是 跨站点请求伪造,发生在一个恶意网站导致一个用户的网页浏览器在一个信任的站点上执行一个有害的行为。举个例子来说就是:

   首先张三登录A系统,验证登录成功后,在张三机器上产生A系统的cookie jseesionid,之后,张三在没有退出A系统的情况下访问系统B,B系统发出一个要求,要求访问A,当然这一块张三自己可能都不知道B对他做了手脚,那么此时,浏览器会带着张三刚开始访问A系统的有效信息去操作A系统,从而达到模拟张三合法用户的目的。


解决方案:
方案一:
1。如果为GET请求,则只允许接收数据,不准修改服务器上的任何数据。
2. 如果为POST请求,则要求其包含一个伪随机值,该随机值扔到session中,每次都做一下对比,如果跟session的值相同则放过,如果不同,则命其跳回。。

方案二:
建立一个过滤器,对所有请求都做过滤,要求每一次请求都带有伪随机值,跟session中的值做对比,相同放过,不相同,命令其跳回。


此仅为个人解决方案!希望能帮到大家。

转载于:https://my.oschina.net/tianshibuzuoai/blog/65274

weixin_33806300
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
站点请求伪造(CSRF)总结和防御
bluemoon_0的博客
02-04 2046
站点请求伪造(CSRF)总结和防御
关于CSRF(Cross-site request forgery请求伪造
weixin_44019182的博客
06-17 1268
CSRF(Cross-site request forgery请求伪造 CSRF理解 请求伪造也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。 可以理解为 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟
站点请求伪造解决方案
qiaoqiaoqiaozh的博客
05-09 1万+
站点请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 有很多解决方案:1.验证 HTTP Referer 字段2.在请求地址中添加 token 并验证3.在 HTTP 头中自定义属性并验证. 我这里使用了第一种: public void doFilter(ServletRequest servletRequest, ServletR...
站点请求伪造CSRF攻击)漏洞原理和解决指南
日拱一卒无有尽,功不唐捐终入海
12-15 9265
站点请求伪造CSRF)是一种常见的Web安全漏洞,攻击者利用该漏洞可以以被攻击用户的身份执行未经授权的操作。下面是CSRF攻击的原理:1. 用户登录网站:用户在一个网站上登录,并获取了有效的会话凭证(如Cookie)。2. 攻击者准备攻击页面:攻击者准备一个恶意网页,该网页会在用户浏览器中加载并执行。3. 用户访问恶意网页:用户在登录网站后,访问了攻击者准备的恶意网页,该网页中包含了攻击者构造的恶意请求
请求伪造解决方案
最新发布
我这个代码你能看懂吗?
07-16 432
防止CSRF攻击的方法有很多,最常见和有效的方法是使用CSRF令牌。其他方法如验证HTTP Referer头、使用SameSite Cookie属性和双重提交Cookie也可以作为辅助措施。根据具体的应用场景和需求,可以选择一种或多种方法来保护你的应用免受CSRF攻击。
站点请求伪造的处理方法
每天学习一点点
05-28 4969
使用安全软件对网站扫描后报出“站点请求伪造”的漏洞。
xss和csrf详解
weixin_33737774的博客
08-29 340
XSSCross site scripting,全称“站脚本”特点是不对服务器造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论时,提交含有js的内容文本,而服务器没有过滤掉或者转义掉这些脚本,作为内容发布到页面上,那么其他用户在访问的时候就会运行这些脚本。for example:​ // 用 <script type="text/javascript"></scrip...
DVWA系列---CSRF(Cross Site Request Forgery请求伪造
野原新之助
01-26 527
文章目录一、前言CSRF二、Low级别1、演示2、源码三、Medium级别1、演示2、源码四、High级别1、演示 一、前言 CSRF CSRF(Cross Site Request Forgery)名为“请求伪造”,意思是黑客伪装成用户的身份,利用目标服务器对用户的信任(即用户已经登入,且存有Cookie)进行数据请求或数据更改,达到攻击的目的。 CSRF形成的原因: 1、用户在登陆了网站后...
Exploit-DMA-Radius-Manager-4.4.0---Cross-Site-Request-Forgery-CSRF-:DMA Radius Manager 4.4.0-请求伪造CSRF
04-10
【标题】"Exploit-DMA-Radius-Manager-4.4.0---Cross-Site-Request-Forgery-CSRF-"揭示了一个针对DMA Radius Manager 4.4.0版本的安全漏洞,该漏洞涉及到请求伪造CSRF)攻击。这是一种网络安全威胁,允许攻击...
Robust Defenses for Cross-Site Request Forgery
09-29
【Robust Defenses for Cross-Site Request Forgery】是一篇探讨如何有效防御请求伪造CSRF)攻击的研究论文。作者包括Adam Barth、Collin Jackson和John C. Mitchell,他们都来自斯坦福大学。该研究指出,CSRF...
ring-anti-forgery:环中间件以防止CSRF攻击
04-27
在Web应用程序开发中,请求伪造CSRF,Cross-Site Request Forgery)是一种常见且危险的安全威胁。它允许恶意用户在受害者(已登录用户)的浏览器中执行非预期的操作。Ring-Anti-Forgery是Clojure Web开发框架...
mod_csrf:防止站点请求伪造的 Apache 模块。-开源
05-30
站点请求伪造(Cross-Site Request Forgery,简称 CSRF 或 XSRF)是一种网络攻击方式,它利用了用户浏览器已经存储的登录凭证,如Cookie,来执行非授权的操作。这种攻击常见于Web应用中,使得攻击者能够在用户不...
Django中如何防范CSRF站点请求伪造攻击的实现
09-19
CSRF(Cross-Site Request Forgery请求伪造),是一种常见的安全攻击手段。在这种攻击中,攻击者利用受害者的身份(通常是通过受害者已登录状态下的Cookies)发起恶意请求。这些请求对于服务器而言是合法的,...
请求伪造CSRF
浪漫鼠
05-27 3088
以下转自:http://www.cnblogs.com/dolphinX/p/3403520.html CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF伪造成合法用户发起请求。 在XSS危害——session 劫持中我们提到了session原理,用户登录后会把登录信息存放在
请求伪造 CSRF 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 1004
请求伪造 CSRF 漏洞原理以及修复方法
如何解决站点请求伪造
热门推荐
沉底的石头
11-21 3万+
IBM appscan扫描漏洞--站点请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie  的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 cookie  的“同源策
(保姆级教学)请求伪造漏洞
m0_63436163的博客
04-19 1421
请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
Cross-Site Request Forgery (CSRF) Attack Lab
09-04
Cross-Site Request Forgery (CSRF) Attack Lab是一个网络安全实验,旨在测试和演示请求伪造攻击(CSRF)的原理和实践。实验中通过创建恶意网页和利用漏洞,攻击者可以伪造用户身份进行各种未经授权的操作,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值