CSRF漏洞介绍(笔记)

最新推荐文章于 2024-05-31 22:45:51 发布
最新推荐文章于 2024-05-31 22:45:51 发布
阅读量360 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46062722/article/details/111693933
版权

什么是CSRF?

CSRF(英语:Cross-site request forgery)跨站请求伪造,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
最大的区别就是CSRF没有盗取用户的cookie,而是直接的利用了浏览器存储的cookie让用户去执行某个动作。

有什么危害?

简单总结 CSRF 漏洞就是利用网站权限校验方面的漏洞在用户不知觉的情况下发送请求,达到“伪装”用户的目的。攻击者利用 CSRF 实现的攻击主要有以下几种:
攻击者能够欺骗受害用户完成该受害者所允许的任一状态改变的操作,比如:更新账号细节,完成购物,注销甚至登录等操作。
获取用户的隐私数据
配合其他漏洞攻击
CSRF 蠕虫

分类:GET型(手动型、自动型)、POST型
前提条件:用户必须是登录状态

原理:

1.用户浏览并登录信任网站A
2.网站验证通过,在用户处产生A的cookie
3.用户在没有登出的情况下访问攻击网站B
4.B要求访问第三站点A,发送恶意的请求
5.根据B在4的请求,浏览器带着2产生的cookie访问A,并执行B的恶意代码

CSRF漏洞利用条件:

漏洞条件
1、被害用户已经完成身份认证
2、新请求的提交不需要重新身份认证或确认机制
3、攻击者必须了解Web APP请求的参数构造
4、诱使用户触发攻击的指令(社工)

CSRF漏洞挖掘方法:

1.密码修改处
2.点赞
3.转账
4.注销
5.删除
6.修改个人信息

CSRF漏洞修复方法:

1、校验referer来源
2、添加随机token
3、身份确认机制

DF。
关注
CSRF漏洞基础学习(笔记
部分学习记录
08-05 510
CSRF原理 CSRF漏洞定义 CSRF(Cross-site request forery,XSRF)跨站请求伪造,也被称为One Click Attack或Session Riding。 CSRF与XSS的区别: 1、XSS利用站点内的信任用户,盗取cookie 2、CSRF通过伪装成受信任的用户请求受信任的网站 CSRF漏洞原理 利用目标用户的合法身份,以目标用户的名义执行某些非法操作 例如: 转账链接:http://www.xxx.com/pay.php?user=xx&money=100
CSRF漏洞学习笔记
m0_47599604的博客
03-22 263
目录 csrf漏洞介绍 CSRF简介 危害 分类 原理 csrf漏洞靶场实战 csrf挖掘及修复 漏洞条件 挖掘方法 修复方法 扩展 AJAX 同源策略 csrf漏洞介绍 CSRF简介 CSRF(cross-site request forgery)跨站请求伪造,也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的web应用程序上执行本意的操作的攻击方法。 跟跨网站脚本(XSS)
CSRF漏洞总结
m0_62805300的博客
07-08 863
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站
csrf漏洞小结
qq_45091741的博客
05-04 272
趁着距离还有一段时间 在burp安全学院学习了波web csrf漏洞漏洞成因那些网上文章那么多,我就不详写了,这篇文章主要写怎么测试csrf漏洞 burp安全学院csrf文章及实验场景 https://portswigger.net/web-security/csrf 以后遇到可能存在csrf的表单提交二话不说按照以下方法先测试提交一波 1,更改请求方式 2,删除token 3,令牌未绑定用户会...
csrf和xss安全漏洞总结
SAN_YUN的专栏
01-10 461
CSRF 全称Cross-Site Request Forgery,是用户伪造了一个自动提交的url,导致其他用户点击URL时会自动执行一些危险操作。CSRF一般可以通过两种手段防御:1.只允许POST提交数据。2.提交数据时加上token。 XSS 全称Cross-site Scripting,是用户提交了非法的脚本内容到网站,导致其他用户访问页面时非法脚本会被执行。XSS一般提供对请求参...
[ web 漏洞篇 ] 常见web漏洞总结之 CSRF 总结
qq_51577576的博客
11-20 937
目录 CSRF 跨站请求伪造 需要满足条件:(举个例子来说) CSRF攻击过程: 如何确定存在CSRF漏洞CSRF漏洞检测: 常见的CSRF防范措施 Token是如何让防止CSRFCSRF和XSS的区别 CSRF 跨站请求伪造 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 Cross-site request forgery简称为"CSRF" 。 在CSRF的攻击场景中攻击者会伪造一个请求 (这个请求一般是一个链接) 然后欺骗目标用户进行点击,用户一旦点击了这.
CSRF漏洞剖析
zmzsg100的专栏
12-04 910
CSRF的前世今生
【基础篇】第03篇:PHP代码审计笔记--CSRF漏洞1
08-03
### PHP代码审计笔记CSRF漏洞详解 #### 一、CSRF漏洞概述 **CSRF**(Cross-Site Request Forgery,跨站请求伪造),是一种针对Web应用的安全威胁。这种攻击方式利用了用户已经登录的会话状态,在用户不知情的情况...
DVWA靶场笔记csrf漏洞原理
Alonegrief的博客
11-20 1400
DVWA漏洞源码分析——(三)csrf Csrf原理: Csrf中文称为跨站请求伪造,利用受害者未失效的身份认证信息(cookie,会话等)诱骗其点击恶意链接或者去访问攻击者构造的含有攻击代码的页面,在受害者不知情的情况下,以受害者的身份向服务器发送请求,从而达到一些非法操作(转账,改密)。 Csrf和xss的攻击方式有点相似,但是不同的是: (1) csrf需要登录后才能操作,xss不需要 (2) csrf是请求页面api来时先非法操作,xss是先当前页面植入js脚本来修改页面内容 例子: 这里我们用dv
CSRF漏洞
我不是大牛
07-04 1715
内容 1.CSRF漏洞的概述 2.CSRF漏洞的原理 3.CSRF漏洞分类与利用 4.CSRF漏洞的挖掘与防御 背景 CSRF(Cross-Site Request Forgery,跨站请求伪造),它是一种常见的Web攻击方式,很多开发者对它很陌生。它在2007年曾被列为互联网20大安全隐患之一。即使是大名鼎鼎的Gmail,在2007年底也存在CSRF漏洞,从而被黑客造成巨大的损失。 什么是CS...
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2528
本篇总结归纳CSRF漏洞
CSRF漏洞详解与挖掘
m0_60571990的博客
11-03 547
CSRF漏洞详解与挖掘
网安学习日志-CSRF漏洞(上篇)
最新发布
qq_61035923的博客
05-31 1019
CSRF(Cross-site request forgery)简称:跨站请求伪造,存在巨大的危害性。在 CSRF 的 攻击场景中,攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点 击,用户一旦点击了这个请求,整个攻击就完成了,所以 CSRF 攻击也称为 one-click attack。
csrf漏洞概述及原理
北冥有鱼
04-27 1540
跨站请求伪造(CSRF) 章节目录 CSRF漏洞简述 场景举例 图中这个叫做lucy的女的想要修改一下自己的收货地址,然后用自己的账号密码登录后去进行修改,修改完后去请求提交,请求里面包含了自己新的地址,并把它提交给了后台,这是个正常的操作。 如果有个人想要修改lucy的个人信息,叫小黑,将修改个人信息的请求伪造成自己的地址 csrf与xss的区别 如何确认一个web系统存在CSRF漏...
csrf漏洞利用
weixin_34406086的博客
03-01 167
low csrf(cross-site-request forgery),跨站请求伪造。 测试网站 --http://localhost/vulnerability/csrf 修改密码,点击change,网页url中暴露出要修改的密码。 漏洞利用,构造链接 当受害者点击这个页面时,会发现这是个错误的界面,但其实已经收到了csrf的攻击。 当他重新登录时会发现用自己修改的...
CSRF漏洞和攻防概述
SonHOuse1993的博客
04-15 487
CSRF漏洞和攻防概述什么是CSRF攻击?CSRF攻击攻击原理及过程CSRF攻击实例CSRF漏洞检测防御CSRF攻击验证 HTTP Referer 字段在请求地址中添加 token 并验证在 HTTP 头中自定义属性并验证 什么是CSRF攻击? CSRF是跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。 攻击者盗用了你的身份验证信息,以你...
九、CSRF漏洞
weixin_46849264的博客
03-10 98
CSRF漏洞是跨站点请求伪造的简称,该漏洞原理是攻击者盗用了用户的身份信息,以用户的名义去访问自己曾经认证过的网站执行恶意操纵。
CSRF攻击
xiaoming
09-27 237
CSRF攻击产生的原因 (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用也就是人们所知道的钓鱼网站。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方...
JAVA漏洞复现技术学习笔记
资源摘要信息:"JAVA漏洞学习复现笔记" 一、JAVA漏洞基础概念 JAVA漏洞,指的是在Java语言开发的应用程序中,由于编程错误、配置不当、内存管理失误等原因导致的安全漏洞。这些漏洞可能会被恶意攻击者利用,执行未...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值