Web安全—跨站请求伪造攻击(CSRF)

最新推荐文章于 2024-07-15 13:13:49 发布
最新推荐文章于 2024-07-15 13:13:49 发布
阅读量732 收藏 1
点赞数
分类专栏: Web安全—漏洞学习 文章标签: web安全 csrf 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44431280/article/details/122784766
版权

CSRF(Cross-site request forgery)跨站请求伪造

提要:CSRF(Cross-site request forgery)跨站请求伪造属于客户端攻击,一句话可以总结为:攻击者盗用了用户的身份信息,以用户的名义发送恶意请求,对服务器来说这个请求是用户发起的,但却完成了攻击者所期望的一个操作。
原理讲解:
在这里插入图片描述
第一步:用户通过浏览器登陆访问目标网站A,网站A会返回给浏览器用户的认证信息(cookie或sessionid),此时对于网站A,用户的请求都是合法的
第二步:在网站A不退出,浏览器不关闭的情况下(目的是保证认证信息不失效),用户点击了黑客构造的恶意链接(恶意链接的内容是去访问网站A,对网站A产生影响)
第三步:网站A响应执行黑客构造的恶意链接,攻击发生(因为此时恶意链接带了用户的认证信息,所以网站A认为恶意链接是合法的)
在这里插入图片描述
利用条件:
1,已登陆系统,用户访问URL,已存在的网站中允许用户跳转(认证信息不失效)
2,欺骗用户访问URL
漏洞危害
修改用户信息:用户头像,发货地址,添加账号,删除账号等
CSRF防护手段
1,设置随机Token进行验证
2,验证HTTP请求的Referer字段
3,设置验证码
4,限制请求方法最好为POST请求
5,当用户发送重要的请求需要输入登陆原始密码

CSRF通过和XSS漏洞一起结合使用,XSS可以进行cookie窃取和session劫持,从而为CSRF获取到认证信息。

the zl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全——CSRF攻击
Novice-XiaoSong的博客
10-22 277
CSRF CSRF(Cross—Site Request Forgery)请求伪造,主要是利用浏览器端未过期的cookie信息伪造身份通过服务器的身份验证。 防御 (1)验证 HTTP Referer 字段 (2)在请求地址中添加 token 并验证 (3)在 HTTP 头中自定义属性并验证 CSRF攻击与防御 ...
CSRF 攻击
lcf枫的博客
06-24 865
CSRF 攻击 CSRF (Cross Site Request Forgrey).是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。 原理: 内发送请求一般需要一个登陆了的标志。一般存储在cookies 中。这个cookies会存在浏览器中,而发送请求的时候都会带上这个cookies。hacker 无法拿到这个数据。但是可以通过发送请求都会带上cookies...
CSRF攻击解决方式
qq_27394335的博客
07-31 557
1.CSRF(cross-site request forgery),请求伪装 顾名思义,用户角度,访问成功并且登录成功我们的网,没有推出情况下,又访问了病毒网,于是病毒网通过用户端,拿着用户的缓存请求我们的网(尤其是些增删改查的致命操作),于是乎,成功影响了我们的网web-died。 登录成功(未退出) User(A)-------------...
Web安全攻击csrf
flying meng的菜鸟居
04-25 3248
什么是CSRF? 你可以理解为:攻击者盗用你的身份,以你的名义发送恶意请求。它被称为“请求伪造”。它能干的事情有很多:当你打开某个网时,你另一个已经打开的购物网已经完成支付;以你名义发送邮件,发评论;网络蠕虫;虚拟货币转账… CSRF攻击流程 用户登录A网(受信任的) A网确认身份 在A中访问B网链接(危险的) B网拿到A中的 cookie 后绕过A网前端直接向其服务器发送请求 这看似简单,其中却有一些值得注意的问题。比如: 1. B网向A服务器发送请求,是否会导致域问题? 不会。
请求伪造CSRF攻击原理及预防手段
m0_47905795的博客
06-02 5527
随机化Token(CSRF Token):Token是用于验证网请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
Django CSRF请求伪造防护过程解析
01-01
前言 CSRF全称Cross-site request forgery(请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网A,浏览器就会保存网A的cookies。 2、用户在访问恶意网B, 网B上有某个隐藏的链接会自动请求A的链接地址,例如表单提交,传指定的参数。 3、恶意网B的自动化请求,执行就是在用户A的同一个浏览器上,因此在访问网A的时候,浏览器会自动带上网A的cookies。 4、所以网A在接收到请求之后,可判断当前用户登录状态,所以根据
Tomcat怎样防止请求伪造(CSRF) 1
08-08
Web 应用开发中,请求伪造CSRF)是一种常见的安全威胁。请求伪造攻击是指攻击者诱骗受信任用户访问恶意网,从而使得恶意网能以用户身份对受信任网执行操作。为了防止这种攻击,Tomcat 提供了一个...
CSRF请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。...在请求伪造CSRF攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网会话的完整性。而浏览器的安全策略是允许当前页面
论文研究-请求伪造CSRF攻击与防范技术研究 .pdf
08-23
请求伪造CSRF攻击与防范技术研究,刘雅楠,马兆丰,请求伪造CSRF攻击作为最严重的web漏洞威胁之一被列入了开放Web应用安全项目(OWASP)十大漏洞列表。该攻击具有很大隐蔽性和危
网络安全原理与应用:请求伪造CSRF攻击演示.pptx
05-16
请求伪造CSRF攻击演示;;请求伪造CSRF攻击演示;请求伪造CSRF攻击演示;请求伪造CSRF攻击演示;请求伪造CSRF攻击演示;请求伪造CSRF攻击演示;请求伪造CSRF攻击演示;请求伪造CSRF攻击演示...
漏洞修复之CSRF攻击
网站安全专家
06-09 1111
 CSRF通俗来讲就是伪造请求攻击,英文Cross-Site Request Forgery,在近几年的网安全威胁排列中排前三,攻击利用的是网的用户在登陆的状态下,在用户不知不觉的情况下执行恶意代码以及执行网的权限操作,CSRF窃取不了用户的数据,只能执行用户能操作的一些数据。比如:在用户不知道的情况下, 把账户里的金额,以及银行卡号,体现功能,都转移到其他人账户里去。如果被攻击者是...
CSRF请求伪造攻击和预防
allway2的博客
09-05 733
但是,如果您遵循上述注意 HTTP 动词的规则,这对于 CSRF 保护来说不是必需的。幸运的是,只要您使用支持 CSRF 令牌并明确 HTTP 动词的体面、现代的应用程序平台,它们也很容易避免。当使用 cookie 进行会话管理的 Web 应用程序无法验证 HTTP POST 请求的来源时,通常会出现 CSRF请求伪造)漏洞。防止这些攻击的常用方法是使用称为 CSRF 令牌的东西。您应该将令牌绑定到预身份验证会话(当用户进行身份验证并为用户提供新的会话 ID 时,您应该将其丢弃,但这是另一回事)。
【前端安全】一、CSRF攻击和XSS攻击
weixin_39307273的博客
03-06 1472
1、CSRF CSRF,全称Cross-site request forgery(请求伪造),其原理是利用用户的身份,执行非用户本身意愿的操作(隐式身份验证机制)。 形式:图片URL、超链接、Form提交等,也可以嵌入到第三方论坛、文章中等地方。 危害:攻击者可以盗用用户的身份,以用户的名义进行恶意操作,包括但不限于以用户的名义发送邮件、资金转账、网上等危害用户的操作 原理: ...
web基础漏洞之CSRF请求伪造漏洞)
m0_62274649的博客
10-04 1271
一些自己的小总结,有待完善
安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1604
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
请求伪造(CSRF)-简述
weixin_30483697的博客
10-27 132
请求伪造(CSRF)-简述 请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。[1] 跟脚本(XSS)相比,XSS 利用的是用户对指定网的信任,CSRF 利用的是网对用户网页浏...
【网络安全】资产记录工具 Hacker Asset Logger 安装使用详细教程
最新发布
等风来
07-15 154
在对某一应用程序的多个页面、对多个相关联的应用程序进行渗透测试的过程中,多个请求包的参数、功能之间可能存在一定的联系。例如,在A页面触发的请求包中,通过UID可获取CustomerID;在B页面触发的请求包中,CustomerID用于Cookie身份鉴定、获取用户敏感信息、获取用户订单号OrderNo;在C页面触发的请求包中,OrderNo用于获取对应用户的敏感信息,如姓名、电话、地址、身份证。
【网络安全】基于PHP study的DVWA靶场搭建教程
等风来
07-14 475
接着访问:http://127.0.0.1/dvwa-master,拉到页面最下面点击Create/Reset Databse 跳转至该页面后,输入admin、password即可登录:
dvwa请求伪造 (csrf)
09-13
DVWA(Damn Vulnerable Web ...总之,请求伪造CSRF)是一种常见的Web应用程序安全漏洞,可以通过实施适当的防护措施来减轻其风险。在DVWA中,你可以使用这个漏洞进行测试和学习,以增进对Web应用程序安全的理解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值