token为什么能防止csrf_CSRF漏洞探讨

最新推荐文章于 2023-04-16 02:43:55 发布
VIP文章 最新推荐文章于 2023-04-16 02:43:55 发布
阅读量1.7k 收藏 4
点赞数 1
文章标签: token为什么能防止csrf

今天和大家聊聊CSRF(Cross—Site Request Forgery)跨站点请求伪造

背景:节后上班的第一天,无心工作,还被告知今天的文章还没有发,心塞。又被告知负责的某个产品下某个页面存在一个跨站请求伪造漏洞,该漏洞会导致攻击者可以恶意通过浏览器盗用用户身份信息发送一些恶意请求,可能会存在盗号风险,心更塞。惨痛的教训总结最深刻的经验,这波经验无私奉献给你们。

一、CSRF原理

什么是CSRF?危害是什么?简单理解,CSRF是一种危险的恶意请求利用,攻击者利用用户本地的cookie,冒充用户发送一些恶意的请求,而这些请求对服务器来说是完全合法的。可能造成的后果是攻击者冒用用户名义发送消息、盗取账号、消耗账号内资源等。

用一个网上流传甚广的例子来说明

f9e29ef5ece5d0838b5537cd43a28348.png

这就是CSRF攻击攻击原理及过程,为了大家更好理解,以上的过程简化为

ccc2067b8fa86a449070ce1f62097012.png

浏览器在接收到这些攻击

最低0.47元/天 解锁文章
weixin_39753211
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cookies为什么会有csrf风险,为什么token可以避免
qq_44705614的博客
03-16 455
如果使用token,因为token可以不放在cookie里面,在发送请求时经过前端程序处理才可以把token放到请求参数中,所以在直接请求伪造的地址时,浏览器会自动让请求携带cookie,但是没经过前端的操作,请求不会携带token,服务器没有验证token,就会拦截不服务。当浏览器发送请求且浏览器存在 Cookie 且同源不跨域时,浏览器会自动在请求头携带上 Cookie 数据。所以浏览器对csrf背锅,即利用的是网站对用户网页浏览器的信任。CSRF 利用的是网站对用户网页浏览器的信任。
token为什么能防止csrf_渗透技巧之CSRF
weixin_39847034的博客
12-10 335
CSRF即跨站请求伪造,说的简单点,实际上就是攻击者伪造一个表单数据的URL链接,让用户去点击,从而达到我们获取数据的目的,当然,不止是获取数据,修改我们想要的密码、新增个管理员账户、上传个木马等,能达到我们的攻击目的就行。 在我做渗透测试工作的时候,通常探测CSRF漏洞也很简单,也算是个小技巧吧。抓取一个网站的POST请求,删除Referer字段(无Origin字段,有...
TOKEN验证防止CSRF攻击的原理
weixin_34362991的博客
11-29 4038
CSRF中文名是跨站请求伪造攻击,黑客可以通过CSRF攻击来伪造我们的身份,从而进行不法的活动。比如说是以我们的身份进行转账,发送邮件等操作。要想做到预防CSRF攻击,首先需要了解CSRF攻击的原理,只有这样才可以真正的掌握预防的手段。CSRF攻击的原理是这样的:(1):当我们登陆某个网站以后,因为HTTP协议是无状态的,所以为了保存我们的登陆状态,服务器中的程序就必须创建一个session文件,...
通信安全//为什么 token可以防止 csrf?
weixin_37877794的博客
07-27 2247
参考 Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 所以CSRF本质原因是“重要操作的所有参数都是可以被攻击者猜测到的”,Token加密后通过Cookie储存,只有同源页面可以读取,把Token作为重要操作的参数,CSRF无法获取Token放在参数中,也无法仿造出正确的Token,就被防止掉了。
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 9115
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击?
jinyangjie的博客
02-14 6642
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
Axios请求(对于ajax的二次封装)——Axios拦截器与错误处理
XSL_HR的博客
04-16 1435
一篇文章带你学会Axios拦截器与错误处理
对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍
10-16
对laravel的csrf 防御机制详解,及对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
安全开发 | 如何让Django框架中的CSRF_Token通过AJAX的POST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
详解php curl带有csrf-token验证模拟提交方法
10-18
主要介绍了详解php curl带有csrf-token验证模拟提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CSRF漏洞详细说明
02-26
经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证...
vue3/ts/axios config.headers 不存在属性“Authorization” 类型“AxiosHeaders”上不存在属性“Authorization”。ts(2339)
weixin_43845028的博客
01-05 2056
调用config.headers的set方法新增Authorization属性 ( axios版本:axios1.2.2)在config.headers中没有属性“Authorization”将axios版本降级,降到1.1.3。关闭该文件,再打开文件错误消失。vue3 + ts axios版本1.2.2。
axios统一配置请求设置无效的问题
weixin_42971933的博客
02-03 1348
axios统一配置请求设置无效的问题
为什么token能防范CSRF攻击、cookie是同源的
qq_36582776的博客
03-19 1050
CSRF是用户登录安全A网站后,点击危险B网站,危险B利用A中的cookie(不是获取,只是利用登录的状态)替代用户进行危险操作。 token验证是需要将token放到请求头或者请求体里,发送给服务器进行验证。 而token虽然是存储于cookie中的,但是危险B无法获取和解析cookie也就拿不到token,就无法冒用用户身份。 cookie是同源的,而打开简书的两个页面是同源的,所以这两个页面的源相同、cookie同。 查看cookie:cookie有哪些内容? 以键值对形式存储,包括
token为什么能防止csrf_「Burpsuite练兵场」CSRF(二)
weixin_39770821的博客
12-10 669
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于CSRF的内容介绍,感兴趣的小伙伴千万别错过了呦!上期回顾「Burpsuite练兵场」CSRF(一)实验一:Token关联到非会话cookie实验提示:应用程序 email change模块存在CSRF漏洞,启用了token防护,但是并未将csrf令牌防护整合到会话管理中。实验要求:构造CSRF利用代码并上传到exploit serv...
Axios拦截器之error参数
qazxbjp2010的博客
04-13 2868
我们都知道Axios的响应拦截器 axios.interceptors.response.use( function (response) { // 对响应数据做点什么 return response; }, function (error) { // 对响应错误做点什么 return Promise.reject(error); } ); ...
VUE axios请求接口数据时相应undefined
surge
01-11 4446
1.这是对axios进行的二次封装的代码(这部分代码是在request.js中) 2.这是对API统一请求的代码 import requests from "./request.js"; //对请求接口进行封装 export const userinfor_by_get = ()=>requests({url:'/approuter/user/',method:'get'}); 3.在vue文件中对接口进行请求 ,如果请求的方法这样写是没有错的,如果想用res引用任何信息 就会提示u
token为什么能防止csrf
最新发布
06-13
token机制可以防止CSRF攻击的原因在于,它引入了一个额外的验证机制,使得攻击者无法生成有效的请求。 在服务端生成token时,需要使用随机数生成器、加密算法等来生成一个随机值,并将该值设置到cookie或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值