浅谈CSRF攻击

最新推荐文章于 2020-12-15 15:51:37 发布
最新推荐文章于 2020-12-15 15:51:37 发布
阅读量221 收藏
点赞数
分类专栏: 网络安全 文章标签: csrf cookie session crossing site request forgery token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41751625/article/details/79504324
版权

   所谓的CSRF(crossing site request forgery)跨站请求伪造攻击,其实原理很简单,这个也是以前比较流行的一种攻击网站的方式,黑客可能会利用这个对用户造成一定的损失或者网站受到一些破坏性的攻击,还可以用来传播病毒,下面我就来详细的讲解一下。

  首先,它是基于很多网站使用cookie-session机制,当一个用户登陆了一个网站之后,又打开了一个新的标签,去访问其他的网站,这个时候,某些钓鱼网站就会在页面上放一些图片和其他的广告什么的,然后里面隐藏了一些脚本或者超链接,当用户不小心点了之后,就会向最开始登陆的网站发送了一个请求,而这个时候,cookie还存活,自然就会跟着这个请求一起带过去,也就被网站验证为登陆用户,而实际上用户可能完全不知道发生了什么。就是这样,so easy是不是。

  下面就来说一下,怎么样让网站抵抗csrf攻击。

1.不使用cookie-session机制,采用现在比较流行的token验证机制来代替。

2.尽量降低cookie的存活时间

3.使cookie有更小的域

这些只是我的个人理解,我就只能想到这么多,如果大家有更好的解决办法,欢迎在下方留言讨论。

虎哥和你一起学编程
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈CSRF攻击方式
10-18
你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及...
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1710
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
CSRF攻击与防御(写得非常好)
热门推荐
freeking101的博客
01-28 2万+
  From:https://www.daguanren.cc/post/csrf-introduction.html From:https://blog.csdn.net/stpeace/article/details/53512283 CSRF 攻击的应对之道:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf WEB三大攻...
浅谈CSRF攻击方式
qq_45335911的博客
09-17 286
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 三.CSRF漏洞现状 CSRF这种攻击方式在
Django_CSRF_原理分析
Golang & Python 我的最爱
09-19 2053
关于CSRFCSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。
从开发角度浅谈CSRF攻击及防御
02-25
CSRF可以叫做(跨站请求伪造),咱们可以这样子理解CSRF攻击者可以利用你的身份你的名义去发送(请求)一段恶意的请求,从而导致可以利用你的账号(名义)去--购买商品、发邮件,恶意的去消耗账户资源,导致的一些列恶意...
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
01-21
这种攻击形式大概在2001年才为人们所认知,2006年美国在线影片租赁网站Netflix爆出多个CSRF漏洞,2008年流行的视频网址YouTube受到CSRF攻击,同年墨西哥一家银行客户受到CSRF攻击,杀毒厂商McAfee也曾爆出CSRF攻击...
安全测试之跨站请求伪造(CSRF)攻击
小太阳~
01-28 6888
一、CSRF攻击的概念CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,对用户的安全及网站的安全具有很大的危害性。一、CSRF攻击的原理如下图所示,CSRF攻击的原理比较容易理解,其中Web A是存在CSRF漏洞的网站,Web B是
【安全漏洞】CSRF漏洞攻击:原理、检测、防御、实践
开着奥迪卖小猪
06-16 2941
目录 一、CSRF漏洞攻击原理 1、CSRF攻击原理图 2、CSRF攻击实例 二、CSRF漏洞检测 三、防御CSRF攻击 1、验证 HTTP Referer 字段 2、在请求地址中添加 token 并验证 3、在 HTTP 头中自定义属性并验证 四、生产bug实践 1、生产csrf漏洞发现,见jira截图 2、解决策略: 法1:加拦截器,校验referer字段 法2:加验...
简析CSRF
aipei5098的博客
04-09 128
1、简介 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF; 2、功能 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...
CSRF到底 是个什么玩意?
weixin_33708432的博客
11-07 87
CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往...
CSRF与XSS的关系与预防
MichaelAn的博客
08-18 1825
1.CSRF, 跨站伪造请求,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以...
Web后端学习笔记 Flask(10)CSRF攻击原理
开到荼蘼的博客
04-19 554
CSRF(Cross Site Request Forgery,跨站域请求伪造)是一种网络的攻击方式,它在2007年曾被列为互联网20大安全隐患之一。 CSRF攻击的原理: 网站是通过cookie实现登录功能的,而cookie只要存在浏览器中,那么浏览器在访问这个cookie所对应的网站的时候,就会自动的携带cookie信息到服务器上去。那么这时候就存在一个漏洞,如果你访问了一个病毒网站,那么...
CSRF攻击和防御(写的超详细)
weixin_49071539的博客
12-15 2185
当小绿登录正常网站服务器(VULNERABLE WEBSERVER),进行某些操作,操作完成之后没有退出,继续访问了另一个存在病毒的网站(MALUCIOUS WEBSUITE); 因为正常网站存在CSRF漏洞,正常网站的WEB服务器验证不够,当前网站的验证方式只是验证的用户的session存在,那么他就是一个已经登录的状态,但是没有办法保证某一次请求就是当前用户触发的。 在现在的一些app或者是网页中,在交易时会输入一个短信验证码,但是有一些网站并不是属于金额交易的,所以就并没有做这些设置,那如何组织这种.
Web安全:CSRF与XSS
维克托
03-07 328
CSRF 参考资料:http://blog.csdn.net/stpeace/article/details/53512283 XSS 参考资料:https://www.imooc.com/learn/812 1. CSRF 基本概念和缩写 CSRF,通常称为跨站请求伪造,英文名Cross-site request forgery攻击原理 实现CSRF...
CSRF攻击
唯美清泠
11-08 118
文章目录CSRF攻击CSRF攻击原理: CSRF攻击 CSRF(Cross Site Request Forgery)跨站请求伪造,是一种挟制用户在当前已登录的web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,xss利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。 CSRF攻击原理: 网站是通过cookie来实现登录功能的。而cookie只要存在浏...
【基本功】 前端安全系列之二:如何防止CSRF攻击
美团技术团队
10-11 3586
总第290篇2018年 第82篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,本篇是我们前端安全系列文章的第二篇,主要聊聊前端开发过程中遇到的...
CSRF(跨站请求伪造)的理解
weixin_33720078的博客
03-25 175
2019独角兽企业重金招聘Python工程师标准>>> ...
CSRF 攻击 攻击原理
最新发布
06-11
CSRF攻击的工作原理是攻击者构造一个恶意请求,然后诱导用户访问带有恶意请求的页面。当用户访问该页面时,浏览器会自动发送请求到Web应用程序,由于请求中包含了用户的合法身份认证信息(如cookie等),Web应用程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值