CSRF漏洞学习篇

最新推荐文章于 2024-07-28 21:35:23 发布
最新推荐文章于 2024-07-28 21:35:23 发布
阅读量263 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42420804/article/details/106038738
版权
CSRF介绍

CSRF全程为Cross-site request forgery,中文名为跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用

CSRF漏洞的原理

攻击者利用目标用户的身份,以目标用户的名义执行某种非法的操作

CSRF的危害

以目标的名义发送邮件、发信息、盗取目标用户的账号、个人信息等

CSRF攻击过程的重点

1.目标用户已经登录了网站,能够执行网站的功能
2.目标用户访问了攻击者构造的URL

演示

以DVWA靶机为实验机做实验
在这里插入图片描述进入这个页面使用默认的账号和密码登录进去
在这里插入图片描述点击CSRF按钮就可以到CSRF实验界面了,这里要修改的就是上一页登录进来的admin账号的密码
在这里插入图片描述这里的输入框默认是看不见的,但是我们使用F12把它调成text格式,让它展示出来,接着我们点击提交
在这里插入图片描述可以看到我们的密码修改成功了,仔细看现在的URL,我们可以看到密码knight在上面显示,因为它是通过GET方式进行提交的,如果是POST的方法的话我们可以进行抓包查看,现在我们先去首页试试我们修改的密码是不是成功了
在这里插入图片描述我们使用原先的默认的账号和密码是登录不进去的,那我们试试修改之后的密码
在这里插入图片描述是可以成功登录的,我们把刚刚拿出来的修改密码的URL拿出来,分析并构造新的URL
在这里插入图片描述这里可以看到我们把密码改成了knight666,我们尝试一下访问新的URL
在这里插入图片描述可以看到是修改成功了的,那我们尝试登录一下
在这里插入图片描述密码使用的是我们刚刚新构造的密码
在这里插入图片描述发现是可以登录进去的,所以这就是CSRF漏洞

修复

1.验证请求里面的Referer头,该头表示你是从哪个页面到这个页面来的,如果不是指定页面的话就有可能是CSRF攻击,但是该方法不太安全,可有多种方式进行绕过
2.在请求中放入攻击者不能伪造的信息,比如可以在HTTP请求中以参数的形式加入一个随机产生的令牌,并在服务器端验证这个令牌,如果令牌不正确甚至没有,则认为这个请求是CSRF的

three_years_
关注
WEB安全基础-合集
10-23
WEB安全基础—合集,包含基础SQL注入、文件上传、XSS、CSRF、文件包含、逻辑漏洞等。适合新手上手参考学习,通过本文档,可以快速了解渗透测试。
CSRF漏洞
热门推荐
weixin_39861994的博客
10-29 1万+
一、CSRF漏洞介绍: CSRF是指利用受害者尚未失效的身份认证信息( cookie、会话 等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下 以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。 CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用 二、CSRF类型: get请求型CSRF 只需要构造URL,然后诱导受害者访问利用。 POST请求型CSRF 构造自动提交的...
CSRF漏洞详解
xcxhzjl的博客
11-19 3198
一、CSRF漏洞原理 1、基本原理 CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。 2、流程图 3、条件 ●用户成功登陆了网站系统,能执行授权的功能 ●目标用户访
CSRF(跨站请求伪造)漏洞介绍
最新发布
weixin_56233402的博客
07-28 869
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。
第五章-CSRF漏洞
guoyuxin3的博客
11-03 712
第五章-CSRF漏洞 第一节 CSRF原理介绍 1.1 CSRF漏洞定义 ​ CSRF(Cross-site request forery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF。 XSS与CSRF区别: 1、XSS利用站点内的信任用户,盗取Cookie; 2、CSRF通过伪装成受信任用户请求受信任的网站。 1.2 ...
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
【网络安全自学】八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结 本文主要介绍了网络安全领域中常见的几种攻击手段,包括CSS注入、越权访问、csrf-token窃取以及XSS跨站脚本攻击,并通过WHUCTF比赛中的...
appscan安全漏洞修复
12-21
文章将详细探讨AppScan扫描出的五类常见安全漏洞,并提供相应的修复策略。 1. 不充分账户封锁:当系统对失败的登录尝试或恶意活动的响应不足时,可能会导致不充分的账户封锁。修复此问题的关键在于实施严格的...
超全的Web渗透自我学习资料合集(64).zip
09-30
超全的Web渗透学习资料合集,共64。 web渗透: web安全原则 web渗透: web渗透测试清单 web渗透: 自动化漏洞扫描 web渗透: Google Hacking web渗透: web服务器指纹识别 web渗透: 枚举web服务器应用 web渗透: 识别...
网络安全CSRF漏洞
qq_52074678的博客
05-08 1826
目录 一.什么是CSRF漏洞🍔🍔🍔 1.实现流程 2.原理 二CSRF案例分析 2.CSRF漏洞的危害 3.CSRF和XSS区别 4.CSRF playload 1)通过图片的img src属性,自动加载,发起GET请求 2)构建一个超链接,用户点击以后,发起GET请求 3)构建一个隐藏表单,用户访问,自动提交,发起POST请求 三CSRF漏洞挖掘 1.检测工具 四CSRF漏洞防御 1.防御思路 a。我们能不能区分一个请求是来自于自己的前端页面,还是第三方的网站? HTT
CSRF漏洞概述及原理
m0_74131821的博客
04-03 641
CSRF 漏洞经常被用来制作蠕虫攻击、刷 SEO 流量等
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一就够了
Javachichi的博客
05-21 4726
这时该转帐请求的 Referer 值就会是转账按钮所在的页面的URL,而如果黑客要对银行网站实施 CSRF攻击,他只能在他自己的网站构造请求,当用户User通过黑客的网站发送请求到WebA时,该请求的 Referer 是指向黑客自己的网站。你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。比如在PHP中,如果使用的是。
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2477
总结归纳CSRF漏洞
CSRF 漏洞详解
一个努力学习网安的小牛马
11-13 603
CSRF漏洞详解
某BUF CSRF漏洞实例:验证失效引发的安全风险
通过这个案例,学习者可以理解CSRF漏洞的基本原理,即攻击者如何利用受害者已经登录的会话,通过伪造请求来执行他们未授权的操作。在实际应用中,开发者应确保对用户的输入进行严格的验证,并且在敏感操作中加入CSRF...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值