token为什么能防止csrf_CSRF(Crosssite request forgery)

最新推荐文章于 2023-01-31 18:01:47 发布
最新推荐文章于 2023-01-31 18:01:47 发布
阅读量319 收藏
点赞数
文章标签: token为什么能防止csrf

概述

跨站请求伪造是一种攻击,它强制终端用户在当前对其进行身份验证后的web应用程序上执行非本意的操作。

CSRF攻击的着重点在于伪造更改状态的请求,而不是盗取数据,因为攻击者无法查看对伪造请求的响应。

对于大多数站点,浏览器请求自动发送与站点关联的所有凭据。例如用户的会话cookie,ip地址,windows域凭据等。因此,如果用户 当前已对该站点进行了身份验证,则该站点将无法区分受害者发送的合法请求和伪造请求。

受害者角度:用户在当前已登录的web应用程序上执行非本意的操作

攻击者角度:攻击者欺骗浏览器,让其以受害者的名义执行自己想要的操作

CSRF如何触发

 屠龙宝刀,点击就送屠龙宝刀,点击就送

攻击流程流程

1、用户登录web站点

2、用户访问一个恶意的网站

3、恶意网站会有代码载入用户的客户端

4、然后这段恶意的代码在用户端重新向正常的web站点发送非本意的请求。

DVWA的LOW级别下

一、在low级别里,在进行密码修改的同时进行代理拦截,可以得到修改密码的url,代码如下所示

 http://192.168.1.146/dvwa/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change#

二、使用html对链接进行构造

                                           

三、把完成构造的html文件放到网站发布器上,然后诱惑受害者去点击这个链接,完成对密码的修改

下面的html是包含了script自动提交。

 这是一段可以显示密码修改输入框的html代码,当我们执行这段代码时。会出现输入框和确认框,不利于我们进行攻击,所以对代码进行一些优化。    New password:        Confirm new password:                 这是优化的代码,删除了一些不必要的字符,然后用type=hidden对输入框、确认框和change按钮进行了隐藏,然后使用document对表单进行自动提交,这样当用户执行了这段代码时也不知道具体发生了什么。                      

DVWA的Medium级别下

一、在Medium级别下,发现我们构造的html无法成功修改密码,通过抓包发现在Medium级别下,服务器对Referer(源请求)做了限制,只允许host为:192.168.1.132的请求通过,其他的一律拒绝。

05ce810cb1388d737eb30a56e5f1301b.png

二、这时候,我们可以通过修改发布网站路径的文件夹名来完成绕过,如下图所示,最后完成对目标的攻击。

3b446a38014dace718fbbfc75635ca0c.png

DVWA的High级别下

当我们修改密码时,服务器会自动给我们分配一个随机的token,csrf token:是一种随机参数,它保证了攻击者无法猜测到所有的参数。如下所示

 http://192.168.1.132/DVWA/vulnerabilities/csrf/?password_new=admin&password_conf=admin&Change=Change&user_token=205d04f1fc424211cae8241963ac2bc4#

所以,我们无法猜到正确的链接,故无法用前面的两种方法对其进行攻击。

要对High级别的csrf进行攻击,我们要结合xss漏洞去获取用户的token值,再进行csrf攻击。

CSRF防御

无效的防御

使用秘密的cookie:即使是密码的cookie,也会随着每一个请求一起提交,无论最终用户是否被欺骗提交请求,都会提交所有的身份验证令牌。

仅接受POST请求:设置网站的提交方式仅为POST请求,误解攻击者无法构造恶意链接,因此无法进行CSRF攻击,其实要进行CSRF攻击,不仅仅只能通过伪造链接,还能伪造POST请求提交的表单,例如可以在要攻击的网站中结合XSS进行托管简单的表单,此表单可以由javascript自动触发。

多步交易:只要攻击者可以预测或者能够推断完成的事务的每一个步骤,就可以实现CSRF。

URL重写:虽然可以有效的防御CSRF漏洞,都是用户的会话ID会在URL中公开,同样这也是一个漏洞,所以不建议通过引入另一个安全漏洞来修复一个安全漏洞。

HTTPS:HTTPS本身无法防御CSRF。但是HTTPS是防御所有漏洞的前提。

有效的防御

验证Referer字段:根据HTTP协议,在HTTP头中有一个字段为Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求必须来自同一网站。例如某银行的转账是通过用户访问链接A页面完成的,用户必须先登录,并且访问银行的登录主页面,然后通过点击主页面上的按钮来触发转账事件。当用户提交请求时,该转账请求的Referer值就会是转账按钮所在页面的URL。

当攻击者对银行的网站实施CSRF攻击时,它只能在自己的网站构造请求,当用户通过攻击者的网站发送请求到银行时,该请求的Referer是指向攻击者的网站,所以,在进行CSRF防御的时候,只需要对每一个转账请求验证其Referer值,如果该Referer是以银行的ip地址或域名进行的请求的,证明其是合法请求,如果它的Referer是其他网站的话,就可能是CSRF攻击。

添加Token验证:CSRF攻击之所以能够成功,是因为攻击者可以伪造用户的请求,该请求中所有的用户验证信息都存在于Cookie中,因此攻击者可以在不知道这些验证信息的情况下直接利用用户自己的Cookie来通过安全验证。由此可知,防御CSRF攻击的关键在于:在请求中放入攻击者所不能伪造的信息,并且该信息不存在于Cookie中。系统开发者可以在HTTP请求中以参数的形式加入一个随机产生的token(随机字符串),并且在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,就不允许通过。

二次验证:二次验证就是在转账等关键操作之前提供当前用户的密码或者验证码,由此可以有效的防御CSRF攻击。

weixin_39761696
关注
WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击?
jinyangjie的博客
02-14 6983
CSRF攻击概述 **CSRF(Cross Site Request Forgery)**是 跨站请求伪造 。 Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。 举个例子: 小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接
DVWA关卡3:Cross Site Request Forgery (CSRF)(跨站请求伪造)
m0_54899775的博客
12-06 712
DVWA关卡3:Cross Site Request Forgery (CSRF)(跨站点请求伪造)跨站点请求伪造
为什么 token可以防止 csrf?
weixin_30457065的博客
09-20 1706
Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 作者:匿名用户 链接:https://www.zhihu.com/question/21385375/answer/208281970 来源...
通信安全//为什么 token可以防止 csrf?
weixin_37877794的博客
07-27 2333
参考 Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 所以CSRF本质原因是“重要操作的所有参数都是可以被攻击者猜测到的”,Token加密后通过Cookie储存,只有同源页面可以读取,把Token作为重要操作的参数,CSRF无法获取Token放在参数中,也无法仿造出正确的Token,就被防止掉了。
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 1万+
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
TOKEN验证防止CSRF攻击的原理
weixin_34362991的博客
11-29 4115
CSRF中文名是跨站请求伪造攻击,黑客可以通过CSRF攻击来伪造我们的身份,从而进行不法的活动。比如说是以我们的身份进行转账,发送邮件等操作。要想做到预防CSRF攻击,首先需要了解CSRF攻击的原理,只有这样才可以真正的掌握预防的手段。CSRF攻击的原理是这样的:(1):当我们登陆某个网站以后,因为HTTP协议是无状态的,所以为了保存我们的登陆状态,服务器中的程序就必须创建一个session文件,...
对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍
10-16
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种安全漏洞,攻击者可以利用用户的浏览器中现有的cookie等身份验证信息,向目标网站发起恶意请求。CSRF攻击可以迫使用户的浏览器在不知情的情况下执行恶意操作...
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
NARUTONEPIECE的博客
01-31 465
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
token为什么能防止csrf_非常好的一片文章:CSRF
weixin_39861882的博客
12-03 1212
关于跨域与 csrf 的那些小事​juejin.im关于跨域与 csrf 的那些小事前言 在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。知识探讨部分关于跨域产生协议,域名,端口三者其中存在不同都会形成跨域;故,当协议,端口,域名三者均相同时,浏览器就会认为是同源,允许加载该资源,否则为不同源。跨域存在原因:浏览器的同源限制策略请求:客户端(...
为什么token防止csrf攻击
u011982711的博客
02-07 1738
用户登录了A网站,此时A网站与用户建立session,在浏览器上setCookie,JSESSIONID=cb4f911c-39d9-4f2a-b762-3a07396722fa; NG_TRANSLATE_LANG_KEY=%22en%22; 用户访问B网站,B网站有个诱导href=“www.A.com?delete",用户点击了,因为用户当前已经登陆了A网站,所以用户被诱导删除了。原因是浏览器区访问A网站时,A网站是通过request获取cookie,从而获取sessionid,获得了用户的登录状态,
token为什么能防止csrf_CSRF漏洞探讨
weixin_39753211的博客
11-29 1849
今天和大家聊聊CSRF(Cross—Site Request Forgery)跨站点请求伪造背景:节后上班的第一天,无心工作,还被告知今天的文章还没有发,心塞。又被告知负责的某个产品下某个页面存在一个跨站请求伪造漏洞,该漏洞会导致攻击者可以恶意通过浏览器盗用用户身份信息发送一些恶意请求,可能会存在盗号风险,心更塞。惨痛的教训总结最深刻的经验,这波经验无私奉献给你们。一、CSRF原理什么是...
token为什么能防止csrf_「Burpsuite练兵场」CSRF(二)
weixin_39770821的博客
12-10 701
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于CSRF的内容介绍,感兴趣的小伙伴千万别错过了呦!上期回顾「Burpsuite练兵场」CSRF(一)实验一:Token关联到非会话cookie实验提示:应用程序 email change模块存在CSRF漏洞,启用了token防护,但是并未将csrf令牌防护整合到会话管理中。实验要求:构造CSRF利用代码并上传到exploit serv...
token 为什么可以防止CSRF 攻击
qq_40929531的博客
12-03 2351
token 是被开发者发送给后端的,攻击者如果无法获取到token 是无法通过后端服务器的校验的 但是cookie 不同,只要在同一个浏览器,浏览器就会自动将cookie 放入请求头中,如果用cookie 做登录验证,例如: 小明登录了csdn, 此时小明突然想到了一件事情,登录了另一个网站,而这个网站被不知名的人埋入了一些请求,这些请求是当其他人进入该网站,则请求csdn 友好的帮助访问者发布一篇文章, 假如csdn 使用的是cookie做登录判断,小明访问该网站时触发了该请求,浏览器会自动将coo
token为什么能防止csrf_渗透技巧之CSRF
weixin_39847034的博客
12-10 375
CSRF即跨站请求伪造,说的简单点,实际上就是攻击者伪造一个表单数据的URL链接,让用户去点击,从而达到我们获取数据的目的,当然,不止是获取数据,修改我们想要的密码、新增个管理员账户、上传个木马等,能达到我们的攻击目的就行。 在我做渗透测试工作的时候,通常探测CSRF漏洞也很简单,也算是个小技巧吧。抓取一个网站的POST请求,删除Referer字段(无Origin字段,有...
CSRF攻击预防的Token生成原理
热门推荐
陈万洲的专栏
12-30 1万+
以往我们讲到CSRF,谈及都是CSRF的攻击原理,这次讲一下预防CSRF,生成Token背后的加密原理和具体实现例示。 1.Token构成。 从需求功能上来讲,为了防止CSRF工具,token需要具有不重复,另外,还含有特定的功能信息,比如过期时间戳。 下面的图描述了一个token的数据构成: Token的数据结构。 ---------------------------
token为什么能防止csrf_寻找CSRF漏洞的技巧
weixin_39688687的博客
12-05 185
CSRF即跨站请求伪造,说的简单点,实际上就是攻击者伪造一个表单数据的URL链接,让用户去点击,从而达到我们获取数据的目的,当然,不止是获取数据,修改我们想要的密码、新增个管理员账户、上传个木马等,能达到我们的攻击目的就行。 在我做渗透测试工作的时候,通常探测CSRF漏洞也很简单,也算是个小技巧吧。抓取一个网站的POST请求,删除Referer字段(无Origin字段,有就删),进行重放即可,如...
31. Django 2.1.7 模板 - CSRF 跨站请求伪造
DevOps海洋的渔夫@专栏
10-15 180
参考文献https://docs.djangoproject.com/zh-hans/2.1/topics/templates/CSRFCSRF全拼为Cross Site Request...
token为什么能防止csrf_注意!!CSRF和XSS攻防知识点来了
weixin_39740737的博客
11-29 4721
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
fastapi csrf_token机制
最新发布
07-13
FastAPI的CSRF(Cross-Site Request Forgery)令牌机制是为了防止恶意第三方通过用户的已登录会话发起未经授权的操作。它通过生成一个随机的token(通常存储在cookie中),并在每次需要用户验证操作时附带这个token发送到服务器。服务器在接收到请求时,会检查这个token是否匹配预期值。 在FastAPI中,你可以使用`CookieSession`中间件来启用CSRF保护。首先,你需要安装`fastapi-csrf-protection`库,然后配置中间件,并设置一个CSRF_SECRET_KEY。例如: ```python from fastapi import FastAPI from fastapi.middleware.cors import CORSMiddleware from fastapi_csrf_protection import CSRFProtectMiddleware app = FastAPI() # 配置CSRF令牌中间件 app.add_middleware( CSRFProtectMiddleware, secret_key="your_secret_key", # 替换为你自定义的密钥 ) # ...其他路由和设置... ``` 在处理POST、PUT等需要用户输入数据的请求时,需要将生成的`CSRF_TOKEN`添加到请求头或表单数据中。验证时,服务端会在处理请求之前检查`CSRF_TOKEN`的有效性和一致性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值