WEB安全的学习总结与心得(七)——CSRF漏洞

最新推荐文章于 2022-05-28 00:33:04 发布
最新推荐文章于 2022-05-28 00:33:04 发布
阅读量519 收藏
点赞数 1
分类专栏: WEB安全学习总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44681434/article/details/105947593
版权

WEB安全的学习总结与心得(七)

01 CSRF漏洞之简介

属性
属性介绍
英文全称Cross-site request forgery
中文全称跨站请求伪造
危害执行恶意操作(如被转账);制造蠕虫等
漏洞类型客户端漏洞
定义

利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。

02 CSRF漏洞触发机制

用户在正常访问某一个网站进行转账等操作时,被黑客精心构造的花边新闻等页面吸引,误点了进去,触发了CSRF漏洞。因此一个关键点是用户主动访问攻击页面。

ultracool
关注
专栏目录
[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
杨秀璋的专栏
03-05 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文讲解了Windows漏洞利用知识和DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,并编写漏洞利用脚本并实现自动化攻击。本文将分析i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点,非常适合初学者学习,希望对您有所帮助~
web安全攻防渗透测试实训笔记
m0_65385236的博客
04-07 1421
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
CSRF漏洞实验报告
cxrpty的博客
02-25 1917
实验环境:DVWA、Apache 实验原理: CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用普通用户的身份(cookie)完成攻击行为 实验内容: 实验一:修改密码(低级别DVWA) 1.构造一个网址:http://192.168.1.101/1.html ht...
WEB安全总结学习心得(十四)——SSRF漏洞
weixin_44681434的博客
01-30 2096
WEB安全总结心得(十三) 01 文件操作 操作内容 文件上传 上传Webshell;上传木马 文件下载 下载系统任意文件;下载程序代码 常见文件操作漏洞 文件上传漏洞;任意文件下载漏洞;文件包含漏洞 02 ...
WEB安全学习总结心得(六)——XSS漏洞
weixin_44681434的博客
05-05 1138
WEB安全学习总结心得(六) 01 XSS漏洞之简介 属性 属性 介绍 英文全称 Cross Site Script 中文全称 跨站脚本 缩写 XSS 危害 盗取用户信息,钓鱼,制造蠕虫 类型 存储型,反射型,DOM型 漏洞类型 客户端漏洞 名字由来 由于CSS已经被层叠样式表(Cascading Style Sheets)占用了,于是业内人士就换了一个...
WEB安全学习总结心得(一)
weixin_44681434的博客
01-20 3699
** WEB安全学习总结心得(一) ** 这个假期,我开启了web安全学习之旅,根据课程的安排,首先学习了一些web相关的基础知识。 web英文全称为world wide web,中文名称为万维网,我们常称之为www,简单地说,我们平时通过浏览器上网其实就是webweb主要经历了web1.0和web2.0两个时代,web1.0即万维网的初期,比较典型地比如门户网站和个人网站,提供静态页面供...
WEB安全总结学习心得(十三)——XXE实体注入漏洞
weixin_44681434的博客
01-29 392
WEB安全总结心得(十三) 01 文件操作 操作内容 文件上传 上传Webshell;上传木马 文件下载 下载系统任意文件;下载程序代码 常见文件操作漏洞 文件上传漏洞;任意文件下载漏洞;文件包含漏洞 02 ...
CSRF漏洞——原理及防御
cldimd的博客
03-21 6961
CSRF漏洞原理 CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的r...
【网络安全】---web网络安全总结
qq_53061847的博客
05-28 1万+
我们页面常见的web安全问题有: 一、保证我们的前端页面没有漏洞可循 xss跨站点脚本攻击: 不要新人任何用户的输入, 能跟用户产生交互的地方都需要对参数进行转译或者过滤 文件上传漏洞攻击: 校验文件格式, 后端限制存放文件路径的权限,限制运行脚本 SQL注入攻击: 对用户输入进行转译, 后端采用预编译的sql,不要直接使用前端参数 CSRF 跨站请求伪造 anti CSRF token: 原理是从后端拿过来的html文件会在session存储一个随机的验证信息, 每次请求都发送这个验证信息进行校
Web安全期末复习
kaisaooo的博客
07-02 6407
目录前言知识点Web应用开发基础Web信息收集Web漏洞扫描SQL注入文件上传攻击跨站脚本攻击(XSS)跨站请求伪造命令执行漏洞Web Server配置安全认证和授权日志系统构建及日志分析实战与综合简答题复习要点ASP.NET的安全控件web应用系统的数据加密数据库安全通信身份验证日志分析安全配置一套习题 前言 本文用来记录Web安全的复习资料,大部分内容都是从老师ppt的复习范围中节选的,可能不太全,经过考试的心得:有时间的可以多看看,考的比较杂啥都有,但是SQL注入、XSS、文件上传漏洞是重中之重。有
关于CSRF攻击的一些总结
独酌101112的博客
07-13 375
今天抽时间研究了下CSRF攻击,相对于之前的XSS,感觉CSRF更复杂了一些,查阅了一些大佬的博客,在此总结一下: 含义:CSRF即跨站点请求伪造(Cross Site Request Forgery),攻击者盗用用户的身份,以用户的名义发送恶意请求,但是对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User
WEB安全学习总结心得(八)——点击劫持
weixin_44681434的博客
06-26 270
WEB安全学习总结心得(八) 01 点击劫持之简介 特点 1.隐蔽性较高 2.骗取用户操作 3.UI-覆盖攻击 4.利用iframe或其他标签的属性 定义 通过覆盖不可见的框架误导受害者点击而造成的攻击行为。 ...
WEB安全总结学习心得(十六)——代码执行漏洞
weixin_44681434的博客
01-30 2602
WEB安全总结心得(十四) 01 文件操作 操作内容 文件上传 上传Webshell;上传木马 文件下载 下载系统任意文件;下载程序代码 常见文件操作漏洞 文件上传漏洞;任意文件下载漏洞;文件包含漏洞 02 ...
学习笔记六:web安全总结
mcc的博客
06-22 376
学习笔记六:web安全总结 最近两周没怎么更新博客了,今天中午恰好有空,最近几天完成了web安全这一块的学习,就更新了这篇博文。 sql注入 手工注入(sqlabs) sqlmap注入 除了基本的扫描之外,还可以通过仿写tamper文夹里的文件来自定义模块,关于这块,印象还是比较深的,包括burpsuite改包,url编码,盲注之类的。以及一下waf绕过技术 xss DOM xss ...
WEB安全总结学习心得(九)——URL跳转
weixin_44681434的博客
06-30 230
WEB安全总结学习心得(九) 01 URL跳转之简介 实现方式 1.Header头跳转 2.Javascript跳转 3.META标签跳转
csrf实验
weixin_33708432的博客
06-22 518
CSRF攻击实验 CSRF攻击涉及用户受害者,受信任的网站和恶意网站。当受害者与受信任的站点拥有一个活跃的会话同时,如果访问恶意网站,恶意网站会注入一个HTTP请求到为受信任的站点,从而破话用户的信息。 CSRF 攻击总是涉及到三个角色:信赖的网站(Collabtive)、受害者的 session 或 cookie 以及一个恶意网站。受害...
web安全总结
刘志龙的专栏/技术博客
05-04 788
最近被公司强迫本鸟研究安全,没办法,看了一个月的资料,mark总结下。安全问题 解决方案 推荐工具 xss跨站脚本攻击 1.给关键cookie加上httponly属性,js将无法访问 2.对html标签、css标签、url地址等处用户输入定的关键字符 &,<,> ,",'等进行encode 1.httponly 2.owasp esapi csrf跨站请求伪...
web优化及web安全攻防学习总结
weixin_30848775的博客
09-05 243
web优化 前端:(高性能网站建设进阶指南) 使用gzip压缩(节省服务器的 网络带宽) 减少http请求(减少DNS请求所耗费的时间、减少服务器压力、减少http请求头) 使用cdn(用户可以从cdn最近节点获取资源,加快网站浏览速度) 添加expires头(通过这种方式,可以实现直接从浏览器缓存中读取,而不需要去服务端判断是否已经缓存) 使用外部的javascr...
web安全学习
qq_44813849的博客
07-16 380
今天老师讲了很多但自己可能很多都没学习过所以很多地方不能理解,所以只能通过做题来了解每个工具及函数的用法,就先把今天学到的先记下。 web的基础知识 http协议 客户端request请求消息内容:大致由请求行、请求头部、空行和请求数据四个部分组成。 http请求消息Response 服务器接收并处理客户端发过来的请求后会返回一个HTTP的响应消息;HTTP响应也由四个部分组成,分别是:状态行、...
理解CSRF漏洞与使用CSRFTester进行安全测试
"CSRFTester是一款用于检测CSRF(Cross-Site Request Forgery)漏洞安全测试工具,它通过抓取并重放用户在浏览器中的请求来模拟伪造的客户端请求,从而帮助识别潜在的安全风险。该工具在BackTrack4R2中预装,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ultracool

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值