实现 CSRF 攻击简单示例

最新推荐文章于 2024-07-28 21:35:23 发布
最新推荐文章于 2024-07-28 21:35:23 发布
阅读量2.4k 收藏 9
点赞数 2
文章标签: 后端 java
原文链接:https://my.oschina.net/seal90/blog/1833368
版权
本文通过一个简单的银行扣款例子,详细介绍了CSRF攻击的实现过程,包括构建银行和伪银行项目,展示攻击和防御的演示。在防御部分,通过Spring Security的配置展示了如何有效防止CSRF攻击。最后强调了在实际网站中实施安全措施的重要性,如使用短信验证码。
摘要由CSDN通过智能技术生成

为什么80%的码农都做不了架构师?>>>   hot3.png

实现 CSRF 攻击简单示例

CSRF 简例

CSRF与 XSS 攻击经常在公司安全检查中出现,部分项目组也会来找我询问如何解决。网上关于其概念的介绍很多,但终感觉纸上得来终觉浅,决定写一个简单的例子来运行一下来了解其攻击方式,来更深刻理解其原理。关于其概念,这篇英文文章 维基百科 CSRF 有比较全面介绍,中文的访问不到,在这里不再赘述其内容,下面我们以一个简单的例子来实战一下 CSRF 攻击。

一个银行扣款的例子

假设一家银行提供了三种功能:1 查看当前额度,2 扣款。伪银行攻击其扣款功能。为代码逻辑简单只使用扣款,现实场景为转账。当用户登陆银行网站后,打开伪银行页面,在伪银行触发请求,导致银行扣款。下面实现只是能实现攻击,但攻击方案可能看起来并不完善,我想这并不影响阐述攻击方案的实现。当然这也不是骇客教学课程,能够阐述攻击方式足以。

构建项目所涉及技术

  • spring boot
  • spring security

构建银行项目

  • 初始化一个 spring boot 2 项目,项目名为 csrf-bank
  • 添加主要依赖
<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-web</artifactId>
</dependency>
  • 安全配置,并配置用户密码为u/p,spring security 默认开启 CSRF,先关闭
/**
 * 项目访问控制
 * @author seal
 */
@Configuration
public class WebScurityConfig extends WebSecurityCo
最低0.47元/天 解锁文章
weixin_33989780
关注
Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御
oscar999的专栏
07-17 1444
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击者伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF攻击过程。...
php web开发安全之csrf攻击简单演示和防范(一)
weixin_30614587的博客
05-06 135
csrf攻击,即cross site request forgery跨站(域名)请求伪造,这里的forgery就是伪造的意思。网上有很多关于csrf的介绍,比如一位前辈的文章浅谈CSRF攻击方式,参考这篇文章简单解释下:csrf 攻击能够实现依赖于这样一个简单的事实:我们在用浏览器浏览网页时通常会打开好几个浏览器标签(或窗口),假如我们登录了一个站点A,站点A如果是通过cookie来跟踪用户的会话...
CSRF(跨站请求伪造)漏洞介绍
最新发布
weixin_56233402的博客
07-28 869
Cross-site request forgery 简称为“CSRF”,在CSRF攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。
CSRF实例
七月_的博客
08-09 5164
DVWA 实例 CSRF    LOW 我们修改自己密码   然后把别人密码修改了     这是一个修改自己密码的页面   修改密码为qwe 我们修改密码   抓一下包 我们用这个包来生成一个CSRF的表单让别人去点击  (前提是别人登录状态,浏览器有cookie生成)   生成一个CSRF的表单 我们复制这个代码   在桌面新建文件  把这个html代码...
csrf 攻击实例
weixin_45131345的博客
06-20 699
详情见:https://www.jianshu.com/p/264ba4101831
浅谈 CSRF 攻击(附实例,go 语言服务器)
DisMisPres的博客
09-23 789
先提一点,做实例的时候遇到的 cookie 带不上的原因,是谷歌提出的 SameSite Cookies 机制导致的,之前都不知道 cookie 还有这么个属性。 趣事 2011年12月21日,国内最大的开发者社区 CSDN 被黑客在互联网上公布了600万注册用户的数据。更糟糕的是,CSDN 在数据库中明文保存了用户的密码。当然了,这次事故的原理,肯定不是 CSRF。 原理 CSRF 是 Cross-Site Request Forgery 的缩写,跨站请求伪造。本篇阐述的是基于浏览器 cookie 机制
Flask模拟实现CSRF攻击的方法
09-20
# Flask 模拟实现 CSRF 攻击方法详解 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使...
Python Django框架防御CSRF攻击的方法分析
09-18
在Python的Web开发框架Django中,CSRF...总的来说,Django的CSRF防护机制是强大且灵活的,它为开发者提供了一种简单有效的方式来保护Web应用免受CSRF攻击。遵循这些最佳实践,可以大大提高你的Django应用的安全性。
基于JSP的Java Web项目的CSRF防御示例
01-07
5. **安全HTTP方法**:对于DELETE、PUT等不安全的HTTP方法,要求浏览器进行确认,这样可以阻止一些简单CSRF攻击。 6. **同源策略**:利用CORS(跨源资源共享)机制,只允许特定源发起请求,但这主要针对API接口,...
CSRF:ring-csrf示例
01-28
`ring-csrf`库通过生成和验证令牌(tokens),确保只有合法的用户操作才能被处理,从而保护应用程序免受CSRF攻击。 以下是`ring-csrf`库的一些关键概念和用法: 1. **生成令牌**:在用户登录后,服务器会生成一个...
csrf漏洞例子(html、css、JavaScript、php)
04-26
demo例子操作步骤 1、登录获取身份认证(这里用到session) 2、登录后点击跳转进入有漏洞的网站(这里模拟的是黑客发给受害者的地址) 3、点击跳转后是一个图片 注解:其中src的地址money.php是网站的转账接口 其中name是转给谁,money是转多少钱 一旦目标登录了网站访问了这个网页,就会利用session给jake转账100元 可以在目录下查看journal.txt查看转账日志//每刷新一次页面就会转一次账
不错的讲解CSRF攻击的小例子
jackyrongvip的专栏
03-26 297
CSRF
CSRF跨站请求伪造攻击(附自动化工具实战某CMS)
m0_51468027的博客
02-02 2975
一、CSRF介绍   CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,也被称为 one-click attack 或者 session riding。通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像xss漏洞,但是它与xss漏洞非常不同。xss利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。与xss攻击相比,csrf攻击往往不大流行,也难以防范,所以认为比xss漏洞更具危险性 二、CSRF漏洞原理   CS
CSRF跨域攻击实例与防范
weixin_52224421的博客
01-20 571
CSRF跨域攻击实例与防范
7.CSRF(跨站请求伪造)
qq_45926195的博客
10-31 148
7.1什么是csrf CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击 7.2csrf原理 Cross-site request forgery 简称为“CSRF”,在CSRF攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了 程序员开发的时候,未对相关页面进行token和REFERER判断,造成攻击者..
CSRF 攻击
2201_75856701的博客
01-17 181
CSRF(Cross-site request forgery) 跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三份网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某些操作的目的。
CSRF攻击演示
Leon_Jinhai_Sun的博客
05-22 174
创建银行应用 引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupI
Flask示例:模拟实现CSRF攻击与防护措施
本文档主要探讨了如何在Flask框架中模拟实现CSRF(跨站请求伪造)攻击,并重点介绍了防止这种攻击的一般策略和技术细节。CSRF是一种常见的网络安全威胁,攻击者通过利用用户已登录的会话,冒充用户发送恶意请求,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值