CSRF

最新推荐文章于 2024-07-02 21:00:38 发布
最新推荐文章于 2024-07-02 21:00:38 发布
阅读量279 收藏
点赞数
分类专栏: flask 文章标签: CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43250623/article/details/90722253
版权

CSRF

  • CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。

  • CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。

    • 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…

CSRF的特点

在这里插入图片描述

  • 攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生。
  • 攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据。
  • 整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”。
  • 跨站请求可以用各种方式:图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中,难以进行追踪。

CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。但是如果本域下有容易被利用的功能,比如可以发图和链接的论坛和评论区,攻击可以直接在本域下进行,而且这种攻击更加危险。

防护策略

CSRF通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对CSRF的防护能力来提升安全性。

上文中讲了CSRF的两个特点:

  • CSRF(通常)发生在第三方域名。
  • CSRF攻击者不能获取到Cookie等信息,只是使用。

针对这两点,我们可以专门制定防护策略,如下:

  • 阻止不明外域的访问
    • 同源检测
    • Samesite Cookie
  • 提交时要求附加本域才能获取的信息
    • CSRF Token
    • 双重Cookie验证
Vince Li
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF学习
weixin_42694727的博客
03-17 45
风险描述 CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。 一个典型的CSRF攻击有着如下的流程: 受害者登录a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了b.com。 b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cook
token和cookie的区别
热门推荐
jason121388的博客
11-05 1万+
HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie,这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上一个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
Web安全系列之CSRF攻击
Button12138的博客
12-02 1154
csrf指的是攻击者携带网站cookie,冒充用户请求的攻击行为。
CSRF是什么攻击 该如何解决
weixin_68778384的博客
07-02 512
CSRF(Cross-Site Request Forgery),即跨站请求伪造攻击,也被称为“one-click attack”或“session riding”。它是一种网络攻击方式,利用已认证用户在受信任网站上的身份,诱使用户在不知情的情况下执行恶意操作。攻击者通过各种方式(如发送恶意链接、在第三方网站上嵌入恶意代码等)诱导用户的浏览器发送未经授权的请求到受信任的网站。这些请求会携带用户的认证信息(如Cookie、Session),从而让受信任的网站误以为是用户本人发起的合法请求。
Spring Security_02_登录认证并授权_03_CSRF跨站请求拒绝处理
毅君帅
08-17 61
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。出现CSRF跨站请求禁止。
系统安全扫描扫出了:可能存在 CSRF 攻击怎么办
io_123io_123的博客
05-27 594
系统安全扫描扫出了:可能存在 CSRF 攻击怎么办
Spring boot、Spring Security和Druid集成后,因csrf校验开启,不能登录http://localhost:8086/druid/login.html的解决办法
QUDIHUAI的专栏
12-07 5640
Spring boot、Spring Security和Druid集成后,druid部分配置如下 spring:   datasource:     druid:       stat-view-servlet.enabled: true       stat-view-servlet.url-pattern: /druid/* 因为默认开启csrf校验校验,所以进入http://local...
csrf绕过Referer技巧-01
09-15
CSRF绕过Referer技巧详解 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以通过构造恶意页面诱骗用户执行非法操作。为了防御CSRF攻击,Web开发者通常会使用Referer头来判断...
基于JSP的Java Web项目的CSRF防御示例
01-07
**基于JSP的Java Web项目的CSRF防御示例** 在Web开发中,跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种常见且危险的安全漏洞,它允许攻击者在用户已登录的上下文中执行非预期的操作。在基于JSP的...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
CSRF demo代码
02-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,它允许攻击者在用户浏览器中,利用用户的已登录身份执行非预期的操作。这个“CSRF demo代码”可能是一个示例,用于演示如何实施或防范...
详解Django的CSRF认证实现
09-20
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击手段,攻击者通过让用户在不知情的情况下发起对受信任网站的恶意请求,利用已登录用户的身份执行非授权的操作。这种攻击通常发生在用户已经登录目标...
django后台登录:Forbidden (403) CSRF verification failed. Request aborted.
weixin_46084533的博客
01-16 1254
如果您在尝试登录Django后台时遇到了CSRF验证失败的错误,这通常意味着您的浏览器未能提交正确的CSRF令牌,或者Django后端未能验证该令牌。如果您的Django站点后面有代理服务器(如Nginx或Apache),请确保代理正确设置了HTTP头信息,如。有时候,浏览器的Cookies或缓存可能导致此类问题。尝试清除您的浏览器Cookies和缓存,然后重新登录。有时候,简单地重启您的开发服务器可以解决问题。如果您使用了自定义的登录视图,请确保在POST表单中包含了。如果您正在本地工作,而且使用的是。
SpringSecurity 登录页面无法获取CSRF令牌的解决方法
oqqLai123456的博客
03-21 2706
捡重要的说 配置说明:项目是基于maven+springMVC+springSecurity的,maven、web.xml和springmvc具体配置可以百度,具体说下springsecurity.xml的配置,<http pattern="/init" security="none"/> <http pattern="/login" security="none"/><http auto-con
springsecurity登陆失败_Spring Security
weixin_39753857的博客
11-26 2124
4自定义登录失败处理器(续上一篇文章)4.1源码分析failureForwardUrl()内部调用的是failureHandler()方法ForwardAuthenticationFailureHandler中也是一个请求转发,并在request作用域中设置SPRING_SECURITY_LAST_EXCEPTION的key,内容为异常对象。4.2代码实现4.2.1新建控制器新建com.bjsxt...
DVWA登录出现csrf token incorrect
Warren_0611的博客
03-07 3475
猜测跟火狐安装的第三方插件有关系,然后把插件关闭,点击登录失败,说明问题解决,然后再输入自己的账户和密码就可以登录成功。2、更改完后、登录失败 出现CSRF token is incorrect。1、DVWA安装初始化后,需要更改php-ini文件。
教你轻松解决CSRF跨站请求伪造攻击
华为云官方博客
04-21 4788
CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
shiro csrf
最新发布
08-21
Shiro (Spring Security Integration for Java) 是一款强大的安全框架,它支持跨站请求伪造(Cross-Site Request Forgery, CSRF)保护机制。CSRF是一种常见的网络安全攻击攻击者通过诱骗用户在一个网站上执行操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值