关于CSRF(Cross-site request forgery)跨站请求伪造

最新推荐文章于 2024-04-26 03:30:00 发布
最新推荐文章于 2024-04-26 03:30:00 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: springboot 文章标签: web java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44019182/article/details/106816693
版权

CSRF(Cross-site request forgery)跨站请求伪造

CSRF理解

跨站请求伪造也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。

可以理解为

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

举个例子

  1. 用户A浏览并登录信任的网站B

  2. 网站B验证A的登录信息和权限,验证成功后网站B会返回用户浏览器cookie

  3. 用户A在没有退出网站B的情况下访问了一个有危险的网站S(比如用户点击了浏览器弹出来的不知名钓鱼网站)

  4. 这个危险网站上有一个超链接,超链接的地址指向了网站B

  5. 用户A在浏览器点击S网站的超链接,由于这个超链接会自动携带上浏览器中保存的 Cookie访问网站B。

  6. 由于浏览器会自动带上用户A的cookie,所以B会根据用户A的权限处理请求,这样S就达到了模拟用户登录的过程。

如果网站B是一个银行网站,S钓鱼网站搭建一个和招商银行一模一样的网站页面,你以为是招商银行的网站,当你访问钓鱼网站时&#

最低0.47元/天 解锁文章
不会程序的JAVA程序媛
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot中的CSRF攻击及预防
Java徐师兄的博客
07-06 1697
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序中,我们可以采取多种措施来预防CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,防止攻击者利用CSRF漏洞进行攻击。在实际开发中,我们可以根据实际需求选择适当的预防措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
1、计算机常识
程序员三木的博客
12-26 218
缩写列表1、前端1.1、UPS1.2、双机热备1.3、语法糖2、计算机基础2.1 接口-用户接口与API 1、前端 1.1、UPS 1.2、双机热备 1.3、语法糖 2、计算机基础 2.1 接口-用户接口与API 操作系统 @OS 是用户与计算机硬件系统之间的接口,用户通过操作系统的帮助,可以快速、有效和安全、可靠地操纵计算机系统中的各类资源,以处理自己的程序。为使用户能方便地使用操作系统,OS 又向用户提供了如下两类接口: (1) 用户接口: § 操作系统专门为用户提供了“用户
已解决java.lang.RuntimeException: 运行时异常的正确解决方法,亲测有效!!!
最新发布
小明的Java问道之路
04-26 2996
已解决java.lang.RuntimeException: 运行时异常的正确解决方法,亲测有效!!!
教你轻松解决CSRF请求伪造攻击
华为云官方博客
04-21 4729
CSRFCross-site request forgery请求伪造,通过伪装来自受信任用户的请求来利用受信任的网。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
CSRF解决方案 (请求伪造攻击)
futureXgm的博客
10-12 3535
区别: XSS攻击点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网.攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,发表评论,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 攻击方法: CSRF的主要手法是利用请求,在用户不知情的情况下,以用户的身份伪造请求。其核...
java 防止csrf实现类_防止请求伪造(CSRF)攻击 和 防重复提交 的方法的实现
weixin_42297714的博客
02-24 333
importjava.io.IOException;importjava.lang.reflect.Method;importjava.util.UUID;importjava.util.concurrent.ConcurrentHashMap;importjava.util.concurrent.ConcurrentMap;importjavax.servlet.http.Cookie;impo...
Exploit-DMA-Radius-Manager-4.4.0---Cross-Site-Request-Forgery-CSRF-:DMA Radius Manager 4.4.0-请求伪造CSRF
04-10
利用DMA半径管理器-4.4.0 ---请求伪造CSRF- DMA Radius Manager 4.4.0-请求伪造CSRF
Django CSRF请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网A,浏览器就会保存网A...
qingmvc#qingmvc#CSRF-请求伪造1
07-25
Cross-site request forgery 请求伪造常见的请求伪造:微博关注操作:get,访问一条链接就关注成功 【除非是某种不受限的api】
网络安全原理与应用:请求伪造CSRF简介.pptx
05-16
请求伪造Cross-site request forgeryCSRF,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网的恶意利用。 尽管听起来像脚本(XSS),但它与XSS非常不同,XSS利用...
攻击(XSS+CSRF).docx
01-05
请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
CSRF请求伪造 漏洞修复
HelloKittyTom的博客
08-25 1009
CSRF请求伪造 漏洞修复 CSRF: CSRFCross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 修复思想: 可以在前端修复也可以在后端修复,一般前端和后端
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
NARUTONEPIECE的博客
01-31 412
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
web安全第九天:服务器端请求伪造漏洞SSRF
cc777777777的博客
03-05 829
web安全第十天:服务器端请求伪造漏洞SSRF
Spring Security Reference 18. Cross Site Request Forgery (CSRF)
大强博客
07-06 356
18. Cross Site Request Forgery (CSRF)This section discusses Spring Security’s Cross Site Request Forgery (CSRF) support.18.1 CSRF AttacksBefore we discuss how Spring Security can protect applications ...
前端安全系列之二:如何防止CSRF攻击?
weixin_34416754的博客
10-12 360
背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端...
Django - CSRFCross-site request forgery 请求伪造
LIN的博客
11-23 339
目录 一、CSRFCross-site request forgery 请求伪造) 1-1 CSRF 攻击原理 1-3 CSRF 攻击防范方式(主流的三种策略)  1-3-1 验证HTTP Referer 字段 1-3-2 在请求地址中添加token并验证 1-3-3 在 HTTP 头中自定义属性并验证  二、 Django中的CSRF防范 - 中间件csrf_token的使用...
Web安全-检测-CSRF
AG9GgG的博客
10-14 1810
背景知识 请求伪造CSRF,Cross Site Request Forgery)是一种网络攻击方式,它在2007年曾被列为互联网20大安全隐患之一。 网是通过cookie来识别用户的,当用户成功进行身份验证之后,浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网就会带上这个cookie。如果这期间浏览器被人控制着请求了这个网的url,可能就会执...
Java代码审计中常见的漏洞(四)
武天旭的博客
12-11 1097
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 文件上传 2 外部定义加密算法 3 设置HTTPOnly属性 4 加载恶意库 5 服务器端请求伪造 6 反射文件下载 7 解压覆盖文件
Cross-Site Request Forgery (CSRF) Attack Lab
09-04
Cross-Site Request Forgery (CSRF) Attack Lab是一个网络安全实验,旨在测试和演示请求伪造攻击(CSRF)的原理和实践。实验中通过创建恶意网页和利用漏洞,攻击者可以伪造用户身份进行各种未经授权的操作,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值