Web初探索(四)

最新推荐文章于 2024-08-30 07:31:35 发布
最新推荐文章于 2024-08-30 07:31:35 发布
阅读量397 收藏
点赞数 1
分类专栏: web学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44163738/article/details/106203470
版权

Web学习——任务四

复述本周任务

时间:2020.5.18——2020.5.23
内容:

  • 学习CSRF(跨站请求伪造)
  • 完成dvwa第三个模块CSRF
  • 继续学习php以及HTML

学习CSRF(跨站请求伪造)

什么是CSRF

在这里插入图片描述
我的理解就是:
我给一家超市说:本周所有的账单,只要报了我的名字就记在我的账上;但是有一次我去了另一家店(恶意),这家店用某种方式知道了我的名字(cookie),然后他就去那家店报我名免费消费了。

如何实现CSRF

⭐ 贴一段百度上的一个比较形象的回答:
附链接1:CSRF攻击与防御(写得非常好)
附链接2:Cross-Site Request Forgeries
附链接3:CSRF原理简介
如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。

  1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
  2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
  3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
  4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
  5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下 携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

如何检测CSRF漏洞

  1. 最简单的方法:抓取一个正常请求的数据包,去掉Referer字段 后再Forward,如果该提交有响应,则基本上可以确定存在CSRF漏洞。
  2. 工具:CSRFTester,CSRF Request Builder等。

如何防御CSRF漏洞

  1. 检查Referer字段
    http头中的Referer字段(用以标明请求来源于哪个地址)。
    在处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域名下。而如果是CSRF攻击传来的请求,Referer字段会是包含恶意网址的地址。
    局限性:因其完全依赖浏览器发送正确的Referer字段。虽然http协议无法保证浏览器没有安全漏洞影响到此字段;并且也存在攻击者攻击某些浏览器&#x
最低0.47元/天 解锁文章
单单丹
关注
专栏目录
CheckMarx Cross Site History Manipulation 解决方案
起止洺的博客
12-26 2924
checkmarx对Cross Site History Manipulation描述如下: 风险会造成的后果 攻击者可以通过操纵浏览器的 JavaScript History对象破坏浏览器的同源策略并侵犯用户的隐私。在某些情况下,这使攻击者可以检测用户是否已登录、跟踪用户的活动或推断其他条件值的 状态。这也可能泄露始攻击的结果,从而增强跨站点请求伪造 (XSRF) 攻击。 起因 如何发生 现代...
探索 AIGC 和 Web3 游戏的结合点
qq_32193015的博客
11-09 1873
探索 AIGC 和 Web3 游戏的结合点
关于XSHM(Cross-Site History Manipulation)
weixin_33827731的博客
12-20 804
http://blog.chinaunix.net/uid-27070210-id-3255407.html乍一看,好像和以前 css history hack 差不多,其实原理还是不一样的。浏览器的 history 对象是比较特别的一个东西,与浏览历史不同,这个对象不是保存在本地的那个,也没那么多内容。history对象是浏览器在生命周期中,比如tab页,访问的历史记录,用于提供"前进"、"后退...
XSHM:XSHM漏洞利用示例
05-27
XSHM 跨站点历史记录操纵(XSHM)利用示例。 详细信息在index.html页面中。 提供了两种测试方案:test1.html和test2.html 使用php,因此需要php服务器-重定向必须从后端进行,通过html或javascript触发重定向将不起作用。
从社交图谱看Web3.0在社交领域的探索
专注于分享互联网创业项目与网赚项目
10-18 8385
亨利·梅因《古代法》里的一句话:“所有进步社会的运动,到此处为止,都是一个‘从身份到契约’的运动”。从人类电子身份信息在Web1.0单机时代的首次确立,到Web3.0元宇宙时代虚拟身份的出现,人类在互联网中每一次身份的转换都是一次社会巨大的进步。随着Web3.0元宇宙时代的临近,依靠虚拟身份在Web3.0元宇宙中构建的社交图谱也呼之欲出,未来Web3.0的社交图谱将是怎样的?社交图谱对于Web3.0今后的发展又会起什么作用呢?社交图谱虽然在Web2.0时代就已被提出了,但在当时并未引起重视。在Web2.0时
新手小白丝滑入门web3
nina_1314521的博客
03-11 1177
Github上有很多不错的项目可以去参考借鉴,当然不要忘记去薅测试币。做技术得同学可以把自己得代码发布到git上方便做工作的时候用。关于dapp的概念b站有视频讲解都大差不差,技术的同学不需要在这个板块浪费时间,非技术的同学需要细看。梁老师讲的非常好,很详细,没有听懂的部分可以反复听。去跑一跑上面的例子会加深你对智能合约的理解。深入学习智能合约,推荐。
推荐文章:探索高性能Web开发新境界 - XWeb框架体验
gitblog_00020的博客
08-30 440
推荐文章:探索高性能Web开发新境界 - XWeb框架体验 xwebHigh performance async web framework.项目地址:https://gitcode.com/gh_mirrors/xw/xweb 项目介绍 在当今快速发展的互联网时代,对于开发者而言,选择一个高效、灵活的Web框架至关重要。今天,我们将一起揭开XWeb的神秘面纱,这是一款旨在提升Web应用性能的...
香港Web3媒体:Techub News
TechubNews的博客
05-29 1409
同时,大会还得到了Solana Foundation、Chainlink Labs、数码港、0G、Manta Network、MANTLE、HUAWEI、Vertex、Google Cloud、AUROS、J17、SNZ、JDI、Blockchain、ScalingX、BeL2、Chakra Chain、Web3MQ、dappOS、Axiomesh、Jasper Vault、CUSTONOMY、zk.Link、PublicAI 等众多行业领军企业的宝贵合作支持。Big Demo Day每月举办一次。
web入门体验.zip
12-04
在本压缩包“web入门体验.zip”中,我们找到了一份专为学者设计的Web技术学习资源。这个资源主要关注HTML(HyperText Markup Language),它是构建网页的基础语言,是Web开发的重要组成部分。HTML用于定义网页的...
GazeTheWeb:用眼睛探索Web! MAMEM项目的一部分
02-04
用眼睛和心灵来访问Web的软件。 在下载最新版本。 克隆 该项目使用Git子模块。 请使用以下方法进行检查: git clone --recursive https://github.com/MAMEM/GazeTheWeb cd GazeTheWeb 远程子模块更新后,必须手动...
web 1.0 到 web 3.0
yeasy的专栏
01-04 1088
互联网生态在过去三十年中经历了从 web 1.0 到 web 2.0 的蜕变,未来的 web 3.0 路在何方,值得思考探究。 web 1.0 上世纪九十年代,HTTP 协议发明后,各类网站如雨后春笋纷纷涌现,早期如 AOL、Yahoo 等都创造了惊人的增长奇迹。 这些网站的特点都是拥有者负责提供内容,用户则只能读取内容和使用服务。换言之,是经典的单一生产-众多消费模型。 web 1.0 的模式使得万维网话语权掌握在少数网站服务商手中,少数人决定了主流声音,其他都是沉默的大多数。 web 2.
探索ASP.NET Framework WebAPI的简介与应用
西瓜程序猿
08-05 1396
ASP.NET Framework WebAPI是一种强大的框架,用于构建基于HTTP协议的Web服务。它提供了一种简单而灵活的方式来创建和发布RESTful风格的API。通过使用WebAPI,开发人员可以轻松地将现有的应用程序或服务暴露为可访问的Web API,从而实现数据的交互和共享。
互联网新理念,对于WEB 3.0 你怎么看?
玖涯博客
03-11 1267
WEB 3.0 这个名词走进大众视野已经有一段时间了,也曾在各个圈子里火热一时,至今各大互联网企业任旧在 WEB 3.0 上不断探索。但关于 WEB 3.0 是什么这个问题,其实大部分人都没有一个比较明确的认知,包括区块链和元宇宙等相关行业的从业人士在内,也包括我本人亦是如此。本文非技术性文章,从一个普通互联网用户角度,讲讲个人对 WEB 3.0 的理解与看法。
Web探索(一)
weixin_44163738的博客
05-02 486
Web学习——任务一复述本周任务环境准备python的安装JAVA的安装kali和burpsuite的安装phpstudy的安装虚拟机VMware基础学习HTTP协议(请求与响应)burpsuite抓包改包PHP的基本语法、数据类型、变量常量学习markdown语法 复述本周任务 时间:2020.4.25——2020.5.02 内容: 1.安装phpstudy,python,JAVA(jdk8)并...
Web探索(二)
weixin_44163738的博客
05-09 1140
Web学习——任务二复述本周任务使用dirsearch(Python3环境)dirsearch是什么 复述本周任务 时间:2020.5.4——2020.5.9 内容: 学会使用dirsearch(Python3环境); 学会使用hackbar(Firefox插件)和burpsuite 抓包改包功能; 利用phpstudy搭建dvwa靶场 学会使用burpsuit的Intruder模块,并完成d...
基于Matlab面板版的卡尔曼小球运动跟踪[Matlab面板版].zip
最新发布
10-16
大模型实战教程
Day01(1).py
10-16
Day01(1).py
ArcGIS Server开发Web GIS体验
"ArcGIS Server开发Web GIS新手体验" 在探讨ArcGIS Server的Web GIS开发时,首先要理解ArcGIS Server的核心地位。...同时,持续探索和学习社区资源,以及解决实际开发中遇到的问题,对于提升开发能力至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值