token及用token防csrf

最新推荐文章于 2024-07-24 09:55:39 发布
最新推荐文章于 2024-07-24 09:55:39 发布
阅读量8k 收藏 8
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44720762/article/details/90734715
版权

为什么会出现csrf:一方面,用户安全意识不足,访问不知名的url。另一方面,web没有做到准确的合法用户验证。
由此产生了token,也就是令牌。以修改个人信息页面为例。每当用户访问此页面。html脚本会生成一个随机token,相当于给用户发了一个令牌。通过url中的header一并发到后端。当是这和单一的id其实并没有多大的不同,任何人都可以通过抓包伪造。所以就需要签名。通过算法,将用户id 外加token值生成一个签名。
(Token, 令牌,代表执行某些操作的权利的对象
会话令牌(Session token),交互会话中唯一身份标识符)
打开用户信息修改页面
在这里插入图片描述
修改后提交(submit)
并在bp中查看数据包在这里插入图片描述
在这里插入图片描述
可以看见这一次的url中还附带了一个token值。

具体流程。
打开修改用户个人信息页面,web浏览器访问对应的php文件。
网页接受从后台发过来的token,类型不可见。将其一并提交给后台进行验证。每次刷新,后台发送过来的token都不一样。也就起到了防止伪造的作用

三块五的咸菜干
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
token为什么能csrf_CSRF漏洞探讨
weixin_39753211的博客
11-29 1830
今天和大家聊聊CSRF(Cross—Site Request Forgery)跨站点请求伪造背景:节后上班的第一天,无心工作,还被告知今天的文章还没有发,心塞。又被告知负责的某个产品下某个页面存在一个跨站请求伪造漏洞,该漏洞会导致攻击者可以恶意通过浏览器盗用用户身份信息发送一些恶意请求,可能会存在盗号风险,心更塞。惨痛的教训总结最深刻的经验,这波经验无私奉献给你们。一、CSRF原理什么是...
【网络安全】CSRF同样能携带缓存中的Token,那怎么实现的CSRF
嗨Sirius
03-15 430
Token原理和作用 ①:token和cookie一样都是首次登陆时,由服务器下发,都是当交互时进行验证的功能,作用都是为无状态的HTTP提供的持久机制。 ②:token存在哪儿都行,localstorage或者cookie。 ③:token和cookie举例,token就是说你告诉我你是谁就可以。 cookie 举例:服务员看你的身份证,给你一个编号,以后,进行任何操作,都出示编号后服务员去看查你是谁。 token 举例:直接给服务员看自己身份证 ④:对于token而言,服务器不需要去查看你是谁,不需要
laravel中关闭CSRF(全部关闭、部分关闭)
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
07-05 8031
用了laravel就会知道其中的csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误: 这是因5.2之后的版本中会默认在路由里面添加 web 中间件。 在app/Http/Kernel.php文件中有如下配置: 全部关闭 到此,想必大家就知道了如何关闭这个验证了。就是将上图标注的这一行代码注释掉,这样就关闭了csrf验证,但这就全部关闭了。 ...
csrf攻击之token
yezi__6的博客
04-02 649
1.设置随机字符串,尽量大一些 var csrfToken=parseInt(Math.random()*999999,10); ctx.cookies.set('csrfToken',csrfToken) console.log(ctx.cookies.get('csrfToken')) 2.在表单中提交的数据中加入csrfToken if(post){ ctx.rend...
Pikachu 漏洞练习平台 CSRF(get) login
最新发布
ineedmoreMuQ的博客
07-24 150
当其在已登录的状态下点击了url,意味着他自己像数据库提交了修改信息的请求,这主要是利用了网站对网页浏览器的信任。最大的区别就是CSRF没有盗取用户的cookie,而是直接的利。csrf是一种利用已登录的web应用程序上执行非本意操作的攻击方法,利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览。并把url改用户信息的链接发给倒霉蛋,信息可以随便填,什么叫。当我们修改参数里的修改信息,最终修改结果就是我们修改之后的。也是由于靶场的数据库并没有对传输的修改信息做严格的审核。
js拼接html表单csrf_token,如何在javascript中使用{%csrf_token%}
weixin_36033929的博客
06-19 537
在我的用户页面中,我使用ajax进行编辑.当我点击编辑时,它工作正常.但是当我提交表格时,它什么也没做.当我检查时,这是错误:CSRF验证失败.请求中止.那么,我如何在我的javascript中放置{%csrf_token%}?请指教.谢谢.edit.js:function bookmark_edit() {var item = $(this).parent();var url = item.fi...
Token如何CSRF漏洞
Ethan024的博客
03-20 1303
Token如何CSRF漏洞 CSRF的主要问题是敏感操作的链接容易被伪造,因此每次请求,都添加一个随机码(需要足够长度,足够随机,不容易被伪造),后台每次对这个随机码进行验证。 实验环境: 皮卡丘靶场—CSRF Token 实验步骤: 输入用户名和密码:lucy/123456 修改信息,将ShangHai修改为ShangHai xxx,并且用burpsuite抓包,可看见响应头设置的Token值。 查看后端源代码,发现input标签里面有个token: 将响应头复制出来进行修改 再重
csrf攻击与护—3用flask简单演示csrf攻击之token验证
ACBC12345的博客
12-07 554
csrf攻击与护—2用flask简单演示csrf攻击之referer CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求
对laravel的csrf 御机制详解,及form中csrf_token()的存在介绍
01-03
Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(token)放在session中,并且如果使用 Laravel 的 {{form::open}} 会自动隐藏存在 csrf_token(),如果需要写html form 则需要在...
在django中使用post方法时,需要增加csrftoken的例子
09-17
在Django框架中,为了确保Web应用的安全性,CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌CSRF攻击是一种恶意用户在用户浏览器中利用已登录用户的权限...
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
当你遇到"CSRF token missing or incorrect"的错误时,这通常意味着在处理表单提交时,Django无法找到或验证有效的CSRF令牌。 首先,我们来理解Django中的CSRF机制。Django会在用户首次访问网站时生成一个唯一的...
Logger++和CSRF Token Tracker使用方法
weixin_50464560的博客
09-11 1777
Burp插件的使用使用准备Burpsuite可以使用三种语言编写的扩展插件,Java、Python和Ruby。除Java外,其它两种需要的扩展插件需要配置运行环境。Python下载Standalone Jar版本,下载后将Jar文件放置在Burpsuite文件夹。Ruby下载地址:http://jruby.org/download下载Complete Jar 版本,下载后将Jar文件放置在Burpsuite文件夹。配置运行环境Extender —— Options中配置Python和Ruby的jar文件路径
token 为什么可以CSRF 攻击
qq_40929531的博客
12-03 2334
token 是被开发者发送给后端的,攻击者如果无法获取到token 是无法通过后端服务器的校验的 但是cookie 不同,只要在同一个浏览器,浏览器就会自动将cookie 放入请求头中,如果用cookie 做登录验证,例如: 小明登录了csdn, 此时小明突然想到了一件事情,登录了另一个网站,而这个网站被不知名的人埋入了一些请求,这些请求是当其他人进入该网站,则请求csdn 友好的帮助访问者发布一篇文章, 假如csdn 使用的是cookie做登录判断,小明访问该网站时触发了该请求,浏览器会自动将coo
4-3csrf token详解以及常见的范措施
山兔的博客
07-10 5904
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
token详解及常见范措施;远程命令、代码执行漏洞原理及案例演示
qq_44696653的博客
05-05 1830
Token是如何CSRF的? CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不被伪造呢? 可以每次请求都增加一个随机码。 每次对敏感信息进行修改时后端都会调用一个函数随机生成一个随机码。 在pikachu实验平台进行实际的演示: 在csrf token模块登陆进行数据修改用burpsuite对操作进行抓包处理。 可以看到GET请求为GET /pikachu/vul/csrf/...
CSRF攻击及
ProNotes的博客
09-04 575
1. 概述 概念 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 攻击细节 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一
spring security 自定义登录页面(loginPage和loginProcessingUrl) + 关闭csrf token
m0_45406092的博客
03-24 3967
1. 自定义登录页面 2. 如何在自定义页面增加token 参考 spring security 入门教程 自定义登录页面
sa-token配置路由拦截放行Swagger路径
ControlDemo的博客
02-11 5948
sa-token配置路由拦截放行Swagger路径
token 能预csrf
06-07
是的,token 可以用于预 CSRF(跨站请求伪造)攻击。在使用 token 的情况下,服务器会在发送表单页面时生成一个随机的 token 值,并将其存储在服务器端。在表单提交时,服务器会验证该 token 值是否与之前生成的值相匹配,如果不匹配,则拒绝该请求。这样就可以有效地CSRF 攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值