CSRF跨站请求伪造

已于 2022-03-02 17:48:55 修改
阅读量771 收藏
点赞数
文章标签: csrf 前端
于 2022-03-02 17:19:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43622525/article/details/123235297
版权
这篇博客深入解析了跨站请求伪造(CSRF)的原理,包括攻击的三个构成部分:漏洞存在、伪装请求和用户诱导。通过DVWA平台的CSRF低级和中级实验,展示了如何构造恶意链接修改用户密码。实验过程涉及Burpsuite抓包工具,以及HTML页面的构造。了解这些,有助于提升Web应用的安全防护意识。
摘要由CSDN通过智能技术生成

跨站请求伪造

原理总结

一个CSRF漏洞攻击的实现,其需要由“三个部分”来构成

1、有一个漏洞存在(无需验证、任意修改后台数据、新增请求);

2、伪装数据操作请求的恶意链接或者页面;

3、诱使用户主动访问或登录恶意链接,触发非法操作;

DVWA-CSRF low

DVWA上CSRF的实验是以修改登录用户的账号密码为目的。
如果大家都是用一个服务器进行试验,那么密码就会错乱,最好自己搭建一个DVWA的环境。另外CSRF漏洞都是在跨域环境下进行的,所以大家需要在虚拟机中搭建DVWA环境,然后在本机进行攻击,总之就是把虚拟机(192.168.*.*)当作是要攻击的服务器,主机(127.0.0.1)当作是攻击者自己的外网服务器。当然虚拟机和主机扮演的角色反过来也可以。

打开dvwa

设置等级为low

选择CSRF

修改密码    发现在url提交的请求

 

构造前端页面,当用户登录时访问此链接就会更改密码为123

 访问url

输入之前密码报错

输入url修改后的密码成功

DVWA-CSRF medium

中等级CSRF

需要利用burpsuite抓包

生成CSRF poc

构造html修改密码value

打开网址点击按钮submit request

发现页面显示password changed

实验完成

√远方
关注
【项目实战】Web端常见的高风险漏洞与解决方法(CSRF跨站请求伪造 攻击)
本本本添哥
11-25 1137
CSRF(Cross-site request forgery 跨站请求伪造
CSRF 跨站请求伪造
bazzza的博客
12-29 408
文章目录CSRF 跨站请求伪造一、CSRF原理二、CSRF分类Get型Post型链接类型三、CSRF危害四、防御手段五、CSRF与XSS的区别CSRF本地漏洞复现一、有token复现失败的情况二、漏洞存在-csrf成功复现 CSRF 跨站请求伪造 一、CSRF原理 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的
[Web安全 网络安全]-CSRF跨站请求伪造
最新发布
刘鑫磊
09-21 1242
CSRF跨站请求伪造
CSRF--跨站请求伪造
xylyaya的博客
12-31 221
CSRF攻击的全称是跨站请求伪造( cross site request forgery),是一种对网站的恶意利用。 XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。 CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等,甚至盗取你的账号。 用户访问登录正...
CSRF(Cross-site request forgery)跨站请求伪造
weixin_59496235的博客
03-26 1026
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。我们通常是给受害者发送一个链接,而在正常的情况下人们通常不会点击一个很长的、看起来就不正常的链接,这个就需要利用到社会工程学,学会利用人们的心理来达到我们的目的,诱使他们点击我们构造的链接,这种情况下我们需要把长的链接转化成一个短的链接,而网上正好可以找到很多这种在线的工具。
csrf跨站请求伪造详解
m0_69962105的博客
11-24 1235
钓鱼网站搭建一个类似正规网站的页面用户点击网站链接,给某个用户打钱打钱的操作确确实实提交给了中国银行的系统,用户的钱也确实减少但是唯一不同的是,账户打钱的账户不是用户想要打钱的目标账户,变成了其他用户内部本质在钓鱼网站的页面针对对方账户,只给用户提供一个没有name属性的普通input框然后在内部隐藏一个已经写好带有name属性的input框如何避免上面的问题csrf跨域请求伪造校验网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识。
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
CSRF——跨站请求伪造
weixin_42633359的博客
10-18 238
1、CSRF跨站请求伪造的流程 该过程存在三方:用户客户端、正常网站A、恶意攻击网站B(前提存在CSRF漏洞)   1、用户登陆了正常网站A输入了相关的验证信息。   2、正常网站将cookie写入浏览器,实现了状态保持   3、用户在未退出正常网站的情况下访问了恶意网站   4、恶意网站指定了action=“正常网站的url”,伪造请求参数。   5、用户在主观未知的情况下,再次访问了正常网...
CSRF(跨站请求伪造)
feiniaotjx的博客
09-20 123
CSRF(跨站请求伪造) 靶机 实验地址 CSRF与XSS的区别 xss漏洞:伪造链接,用户已经登录,诱导用户点击,获取用户的cookie值,直接登录,获取用户权限,更改数据。 CSRF漏洞:伪造链接,用户已经登录,诱导用户点击,通过用户自己的权限,促发链接提交表单,更改数据。 CSRF(get) 登录并修改邮箱 未修改前的url 修改后的url为https://www.bihuoedu.com/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonen
CSRF跨站请求伪造
陌茗228.的博客
04-11 131
CSRF跨站请求伪造,利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 Low: 源代码: <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_
CSRF---跨站请求伪造
monster0319的博客
03-09 956
攻击原理: 攻击者利用用户在浏览器中保存的认证信息,向对应的站点发送伪造请求。用户的认证是通过保存在cookie中的数据实现,在发送请求是,只要浏览器中保存了对应的cookie,服务器端就会认为用户已经处于登录状态。 攻击示例: 某个银行转账链接:http://localhost:22699/Home/Transfer;传的参数name="TargetUser"、name="Amount" 网站源码: <html> <head> <meta http-eq
CSRF - 跨站请求伪造
weixin_46601374的博客
03-01 5715
什么是CSRF? CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 实说白了..
CSRF-跨站请求伪造
TPH_BETTER.的博客
04-01 270
转自:https://blog.csdn.net/yun_ld/article/details/100048967 CSRF攻击全称为:Cross-site request forgery,直接翻译为:跨站请求伪造。直接看名称还是有点难以理解,容易跟XSS攻击搞混。在讲解如何防御之前,首先看看如何攻击,举个简单的攻击例子: 小明的悲惨遭遇 这一天,小明同学百无聊赖地刷着Gmail邮件。大部分都是没营养的通知、验证码、聊天记录之类。但有一封邮件引起了小明的注意:甩卖比特币,一个只要998!! 聪明的小明当然知
CSRF跨站请求伪造漏洞
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常会在第三方网站上设置陷阱,引诱用户点击链接或者访问页面,从而触发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值