#笔记(二十九)#csrf漏洞小结

最新推荐文章于 2023-05-05 12:07:46 发布
最新推荐文章于 2023-05-05 12:07:46 发布
阅读量242 收藏
点赞数
分类专栏: # 漏洞学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43476037/article/details/87887558
版权
攻击原理
  1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
  2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
  3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
  4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A; (网站B对网站A发出一个请求的同时,浏览器也会把网站A产生Cookie信息带上)–相当于浏览器访问网站A—这是user信息被盗用的关键
  5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。
防御方案
  • 验证token值
  • 验证HTTP头的Referer
  • 用XMLHttpRequest附加在header里。
与xss区别
  • CSRF并没有盗取cookie而是直接利用
关于dvwa
  • 代码审计很重要,弄清楚各个函数意义,才能对应绕过
  • xss的基本功也要学好,各个之间有联系
vircorns
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hucart-含有CSRF漏洞的源码.zip
12-31
在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际的示例,让我们深入探讨一下CSRF漏洞的原理、危害以及防范措施。 1. **CSRF漏洞原理**: CSRF漏洞通常发生在Web应用程序中,这些应用未对请求进行...
Web攻击Python
watermelon
08-20 310
Web攻击 常见的Web攻击 XSS、SQL注入、DDOS、CSRF XSS 什么是XSS攻击? XSS攻击:跨站脚本攻击,允许攻击者将恶意代码植入到其它用户使用的页面中,涉及到三方:攻击者、客户端、web应用。 主要目的: 盗取存储在cookie,获取cookie之后假冒用户与网站进行交互。 XSS分类(存储型、反射型) 1、存储型XSS:主要出现在让用户输入数据,供其他浏览此页的用户进行查看的...
针对`Python3`下Web框架不安全方法`eval()`的代码注入攻击
m0_62579137的博客
05-05 695
根据eval()方法不安全使用的一种攻击, 通过注入代码, 搭建一个简易的`Web Shell`, 为了方便, 使用`FastAPI `框架进行演示.
Python黑客攻击的几种技术,你得了解一下
weixin_34018169的博客
04-26 2576
2019独角兽企业重金招聘Python工程师标准>>> ...
只用了20行Python代码就攻破了网站登录
Python小二
01-12 969
测试靶机为DVWA,适合DVWA暴力破解模块的Low和Medium等级。关键代码解释url指定url地址url="http://192.168.171.2/dvwa/vulnerabi...
python网站安全(一): XSS注入
stripe-python
06-12 1325
使用python详解了XSS注入的预防
CSRFTester:一款CSRF漏洞的安全测试工具
02-26
CSRFTester:一款CSRF漏洞的安全测试工具CSRFTester是一款CSRF漏洞的测试工具,讲工具之前,先大概介绍一下CSRF漏洞CSRF英文全称是CrossSiteRequestForgery,常被叫做跨站点伪造请求,是伪造客户端请求的一种攻击...
CSRF漏洞的靶场实验
最新发布
09-19
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,它允许攻击者在用户已登录且浏览器保持话状态的情况下,诱使用户执行非本意的操作。在“CSRF漏洞的靶场实验”中,我们将通过实际操作...
第二节 无防护的CSRF漏洞利用-01
09-15
无防护的CSRF漏洞利用 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web应用安全漏洞,攻击者可以通过欺骗用户在当前已登录的Web应用上执行非法操作。今天,我们将深入探讨无防护的CSRF漏洞利用,...
web安全之Xss攻击和Sql注入
沉默的鲨鱼的专栏
10-01 2321
我没有专门学过web安全方面的知识,但是作为开发者,基本的安全意识还是要有的。 说说之前遇到的web中的两个安全问题,一是Sql注入,而是Xss攻击。 Sql注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里
Python-python中的入侵检测脚本
08-10
此脚本将扫描您选择的网络,并提醒您白名单中不存在的任何设备。 白名单是您信任的MAC地址列表。 第一次运行脚本时,白名单将为空,最多可将您信任的设备添加到白名单。
python对网站DDos攻击
ljw0001_2022的博客
07-22 4277
注:以下一切内容请勿用于非法用途,攻击他人服务器,网站等后果自负!!! 首先,我们来了解一下DDos攻击的原理,其实很简单,就是电脑在很短的时间内向网站服务器发送很多请求,最终使得服务器处理不过来,死机了,服务器一死机,网站就随之访问不了了,DDos攻击的目标就达成了。不需要编程者掌握什么高超的技术,也不用想如何渗透进服务器安装病毒程序,就可以完成攻击。好了,废话不多说,上源码 还是那句话以下一切内容请勿用于非法用途,攻击他人服务器,网站等后果自负!!!本人一概不负任何责任 import socke.
Python安全漏洞及防护总结
m0_49706119的博客
07-26 4013
Python安全漏洞及防护总结
Python暴力猜解Web应用
B100dGh0st的博客
11-01 1978
Python暴力猜解Web应用 一、实验说明 本实验使用wordpress作为测试对象,使用模拟登陆和暴力猜解来获取wordpress管理员的登录密码。 1.1 知识点 wordpress安装配置模拟登陆Python requests/threading/itertools/Queue 包的使用多线程暴力破解 1.2 效果图 1.3 实验准备 1)
python爬虫渗透_利用Python进行Web渗透测试(六):使用requests模块与Web应用进行交互...
weixin_39876595的博客
12-09 922
本篇将涉及:requests模块第一个脚本设置http请求头发送POST请求requests模块接触过Python爬虫的同学,对requests模块都不陌生。这是一个高效便捷快速友好的HTTP请求库。与爬虫类似,进行Web渗透测试也需要对Web应用进行请求,与网站进行交互或者是遍历网站路径亦或是测试SQL注入漏洞,还是上传带有后门的表单文件。requests模块支持多种HTTP请求方式,基本上...
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2442
本篇总结归纳CSRF漏洞
python 实现DoS攻击
热门推荐
有图有真相
05-04 1万+
前言 一 狗店老板欺负我女神,作为一个程序员这如果都能忍那还算男人?得知这个狗店老板买狗网站后果断决定黑了他,看他嚣张不嚣张。我使用的是DOS攻击,没一分钟就把他的网站日瘫了,解气。 DOS DOS拒绝服务攻击(Denial-of-Service Attack)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。  ...
python---Django常见的web攻击和防范
weixin_34357267的博客
03-31 424
1、sql注入攻击及防范 2、xss攻击和防范 3、csrf攻击和防范 一、sql注入攻击和防范 1、sql注入的危害: 非法读取、篡改、删除数据库中的数据 盗用用户的各种敏感信息,获取利益 通过修改数据库来修改网页上的内容 注入木马 2、攻击的方法: 项目中,执行数据库中操作不是用orm来编写,用原生的sql语句,例如登录页面: 1 from django...
XSS 攻击
冷静
05-28 1340
作为一个合格的 Web 开发工程师,必须遵循一个安全原则: 永远不要信任用户提交的数据。 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码被执行,从而达到恶意攻击用户的目的。 一种比较常见的 XSS 攻击是 Cookie 窃取...
理解CSRF漏洞:原理、危害与防范
"文档分享了关于CSRF(跨站请求伪造)漏洞的深入理解和示例,包括其成因、危害,以及如何通过结合XSS漏洞来触发CSRF攻击。" **CSRF(跨站请求伪造)** 是一种网络安全漏洞,它允许攻击者在用户已登录某网站情况下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值