java csrf解决方案_从Java的角度修复CSRF漏洞

最新推荐文章于 2024-04-25 13:59:14 发布
最新推荐文章于 2024-04-25 13:59:14 发布
阅读量1.1k 收藏 1
点赞数
文章标签: java csrf解决方案
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39762441/article/details/114153606
版权

漏洞挖掘中,说实话挖过最多的漏洞就属CSRF漏洞了,提交CSRF漏洞很多次,绕过CSRF防御进行攻击也有很多次。CSRF漏洞是一个很容易引发的问题,今天我从Java的角度来说下这个安全漏洞的修复方案。

这里不谈挖掘方式,只谈修复方案。

很多时候你很熟悉一种安全漏洞,但是涉及到的修复方案你只能大概讲下,具体到代码层你就束手无策了,这不是个优秀的白帽子行为。

CSRF一般有两种修复方案

1.加随机性token或者是sign (足够随机,不可解密)

2.验证Referer!

今晚我的修复方案从2.验证Referer说起,很多时候修复referer是可以被绕过的,有三种绕过方案:

1.Referer为空

2.通过伪造域名绕过   example:1.目标地址.随机字符.com 2.目标地址.com.随机字符.com 3.自定义域名地址/目标地址.com

3.利用@绕过,听说过但没遇到过

这里从Java的角度浅谈CSRF漏洞的修复,其实解决Referer就能彻底的根治CSRF漏洞,但是很多时候由于开发的疏忽往往Referer过滤不严就能绕过,这里我写了一个验证Referer的方案,仅作为自己学习Java一些记录吧:

首先随便准备一个简单的视图页面:

test.html:

Insert title here

点我,看看能不能防止referer

未写功能点就是测试下安全问题的解决方案:

修复方案:

refererServlet.java

packagereferer;importjava.io.IOException;importjavax.servlet.Servlet

最低0.47元/天 解锁文章
weixin_39762441
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java Web 应用的安全攻防之 CSRF 漏洞分析
禅与计算机程序设计艺术
10-09 773
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one-click attack”或者Session riding,其利用网站对用户浏览器的信任,通过伪装成用户正常操作的动作,达到恶意盗取用户信息、执行违规操作等目的,是一种常用的Web应用安全漏洞CSRF在很多Web应用中都存在着严重的隐患,攻击者可以盗用用户的登录信息、Cookie等,进而冒充用户进行各种恶意操作。因此,保护用户的个人信息安全、系统安全应首要考虑。
Java web解决CSRF攻击漏洞
goodmentc的专栏
12-11 1768
一、概述 简单介绍一下csrf攻击漏洞。就是你的网站cookie和session信息可以被其他网站盗用,用于非法请求。 应用开发环境:IDEA+JDK1.8 开发框架:Spring boot +thymeleaf+shiro 测试:第三方安全公司渗透测试。 二、解决方法 这里只讲主动防御方法。 总体思路是:用户登录时,服务端分配一个随机token,存储到session里。用户进行其他请求时,从session里取出这个token放到请求头headers里,服务端收到请求时,从请求头里取出token,和sess
服务端请求伪造攻击 SSRF漏洞 原理以及修复方法
最新发布
it知识分享 free for nothing..
04-25 553
服务端请求伪造攻击 SSRF漏洞 原理以及修复方法
Java解决CSRF问题
椰汁菠萝
01-17 2471
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚...
CSRF安全漏洞修复
snumous的博客
01-09 1913
CSRF安全漏洞修复
用于演示Java Web项目中,漏洞的成因及修复方案,可用于黑盒测试和白盒测试,部分修复方案可用于生产环境。.zip
01-28
5. **修复方案**:针对Java Web项目中的漏洞修复方案可能包括更新依赖库以修复已知漏洞,强化输入验证,使用预处理语句防止SQL注入,实施HTTPOnly标志来阻止XSS攻击,以及使用CSRF令牌防止非法请求等。部分解决...
Java安全解决方案
06-26
Java安全解决方案是针对Java编程语言在开发和运行过程中可能遇到的各种安全问题而设计的一系列防护措施和最佳实践。Java作为一种跨平台的语言,其安全性对于保护用户数据、防止恶意攻击至关重要。本节将深入探讨Java...
Java Web应用程序安全技术研究 (1).pdf
04-05
针对这些威胁,安全解决方案应包括以下几个方面: 1. **代码审查**:对服务器端和客户端的代码进行全面审查,找出并修复潜在的安全漏洞。 2. **输入验证**:对用户输入进行严格的检查和过滤,防止SQL注入等攻击。 3...
毕业设计——基于Java漏洞扫描系统.zip
09-27
Java平台上开发这样的系统,我们可以利用其丰富的库和跨平台的能力,为用户提供一个高效且兼容性强的解决方案。 【描述】: "毕业设计——基于Java漏洞扫描系统" 该项目可能涵盖了多个方面,包括但不限于以下几...
代码实例-基于JAVA的安全电子商务(论文).rar
06-16
7. **Web应用框架的安全实践**:如Spring Security、Apache Shiro等框架提供了全面的安全管理解决方案,包括访问控制、认证、授权等功能,简化了在JAVA中实现安全电子商务的过程。 8. **异常处理和日志记录**:有效...
csrf漏洞java防御,CSRF漏洞的原理与防御
weixin_33509141的博客
03-12 477
CSRF 全称:Cross Site Request Forgery,译:跨站请求伪造场景点击一个链接之后发现:账号被盗,钱被转走,或者莫名发表某些评论等一切自己不知情的操作。CSRF是什么csrf 是一个可以发送http请求的脚本。可以伪装受害者向网站发送请求,达到修改网站数据的目的。原理当你在浏览器上登录某网站后,cookie会保存登录的信息,这样在继续访问的时候不用每次都登录了,这个大家都知...
java csrf_Java解决CSRF问题
weixin_42512246的博客
02-12 1330
CSRF是什么?CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF可以做什么?你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账....
CSRF漏洞
武天旭的博客
10-05 1646
一、漏洞描述 跨站请求伪造攻击。 攻击者在用户浏览网页时,利用页面元素(例如img的src),强迫受害者的浏览器向Web应用程序发送一个改变用户信息的请求。 由于发生CSRF攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信息被迫修改,更严重者引发蠕虫攻击。
Java代码审计安全篇-CSRF漏洞
m0_63138919的博客
03-17 1237
本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
java csrf解决方案_Java 安全之:csrf防护实战分析
weixin_39569753的博客
02-16 1058
上文总结了csrf攻击以及一些常用的防护方式,csrf全称Cross-site request forgery(跨站请求伪造),是一类利用信任用户已经获取的注册凭证,绕过后台用户验证,向被攻击网站发送未被用户授权的跨站请求以对被攻击网站执行某项操作的一种恶意攻击方式。上面的定义比较抽象,我们先来举一个简单的例子来详细解释一下csrf攻击,帮助理解。假设你通过电脑登录银行网站进行转账,一般这类转账页...
CSRF漏洞的利用及修复
G3et的博客
02-13 1148
CSRF (Cross-Site Request Forgery) 漏洞是一种 Web 应用程序的安全漏洞,它允许攻击者在用户不知情的情况下执行非法操作。CSRF 攻击通过构造恶意请求来发送给受害者,从而实现对受害者帐户的控制。这些请求看起来就像是从用户自己的浏览器发出的,因此服务器会将它们作为正常请求处理。
Java-如何防范CSRF攻击
了解➔熟悉➔掌握➔精通
01-02 4093
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造,也被称为:one click attack / session riding,缩写为:CSRF/XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。 XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的
CSRF漏洞总结
m0_62805300的博客
07-08 760
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值