csrf漏洞防御方案_CSRF原理实战及防御手段

本文介绍了CSRF(跨站请求伪造)的概念,包括其定义、利用条件和实战示例。讨论了CSRF攻击的三个主要防御方法:验证HTTP Referer字段、在请求地址中添加token验证和自定义HTTP头属性验证。每种方法的优缺点也进行了分析,强调了防御 CSRF 漏洞的重要性。
摘要由CSDN通过智能技术生成

注:本文仅供学习参考

csrf定义:

CSRF跨站点请求伪造(Cross—Site Request Forgery)攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

个人理解(我是没权限修改你信息,但如果这个站点存在csrf的话,你想完成转账修改信息等操作,并且你知道这个站怎么请求这些信息的,你可以构造一个恶意的数据包,骗对方点击,对方点击后会以自己的名义给服务器发送请求是合法的,但是攻击者已经完成了他想要的操作)

csrf利用条件

目标必须已经登录这个网站存在认证信息

并且点击了攻击者的链接

所以条件是比较苛刻的通常配合xss其他漏洞使用

因此,要成功实施一次CSRF攻击,需要天时,地利,人和

实战

假设受害者为lili,登录到这个网站上

如果这个站点存在csrf,我们可以伪装恶意数据包,抓个包生成恶意数据包

可以看到信息是一一对上的,这时修改我们想修改的信息

已经修改完了,这时候发送链接给lili,这里模仿lili点击了这个链接

发现信息已经修改成为我

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值