CSRF基本概述

最新推荐文章于 2024-05-29 17:28:45 发布
最新推荐文章于 2024-05-29 17:28:45 发布
阅读量49 收藏
点赞数
分类专栏: web渗透实战 文章标签: csrf web渗透 网络安全 CSRF理论
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46367450/article/details/132545974
版权

CSRF基本概述

本章节主要是讲理论的,因为实践基于理论,所以学习理论是很重要的。这篇文章比较的枯燥,如果没有CSRF实战的小伙伴,光看理论无法很好的理解,所以需要借助实践来理解理论,实践在我的后面几篇文章,小伙伴们可以先跟着这篇文章实战:CSRF实战案例

实战过后回来看理论或许效果更佳。

基本概念

跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。

借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的

CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应用程序。

关键点

受害者没有退出登录,受害者保持身份认证。

CSRF 继承了受害者的身份和特权,代表受害者执行非本意的、恶意的操作。

CSRF 会借用浏览器中与站点关联的所有身份凭据,例如用户的会话Cookie,IP 地址,Windows 域凭据等。

目标

CSRF 的目标是更改用户账户的状态,攻击者利用CSRF 发送的请求都是更改状态的请求,比如,转账、更改密码,购买商品等等。

CSRF 的场景中,攻击者是没有办法获得服务器的响应

yuan_boss
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
前端xss和csrf部分概述
桃子阿桃
08-27 245
Web安全 私密性: 不被非法获取和利用 可靠性: 不丢失不损坏不被篡改 措施: 代码层面 架构层面 运维层面 安全问题: 用户身份被盗用 用户密码泄露 用户资料被盗取 网站数据库泄露 1. 前端XSS Cross Site Scripting 跨站脚本攻击 跨站有的时候并不是指一定要引用一个远程脚本, 更多的攻击和探测的时候会使用一个alert框来确认这个网站有没有xss漏洞 <span>欢迎来自{from}的朋友</span> XSS攻击基本原理: 程序 + 数据
CSRF漏洞和攻防概述
SonHOuse1993的博客
04-15 446
CSRF漏洞和攻防概述什么是CSRF攻击?CSRF攻击攻击原理及过程CSRF攻击实例CSRF漏洞检测防御CSRF攻击验证 HTTP Referer 字段在请求地址中添加 token 并验证在 HTTP 头中自定义属性并验证 什么是CSRF攻击? CSRF是跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。 攻击者盗用了你的身份验证信息,以你...
Pikachu靶场练习——CSRF
young的博客
09-09 2151
Pikachu靶场练习——CSRF
CSRF及SSRF详解
剁椒鱼头没剁椒的博客
11-29 4575
  CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。   CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。  1)首先用户登录网站,并且生产本地的cookie。   2)用户在未登陆出网站的时候,访问攻击者构建的恶意网站。   当然若你关闭网站去访问恶意网站就会避免该问题,但不是绝对的,相信在日常使用中都会存在浏览器同时打开多个页面,很少说有人去访问一个网站的时候把另外的网
Spring Security CSRF 保护指南
allway2的博客
11-05 742
这可以保护我们的应用程序免受 CSRF 攻击,因为攻击者无法从自己的页面获取此令牌。我们的无状态 API 不能像我们的 MVC 配置那样添加 CSRF 令牌,因为它不会生成任何 HTML 视图。现在,如果不包含CSRF令牌,POST请求将失败,这当然意味着早期的攻击不再是一种选择。现在我们了解了CSRF攻击的样子,让我们在Spring应用程序中模拟这些示例。如果我们跟踪来自此攻击者页面的请求,我们将能够发现命中原始应用程序的请求。所解释的,我们需要了解我们的无状态 API 是否需要 CSRF 保护。
Pikachu-CSRF
baynk的博客
11-18 1257
0x00 CSRF概述 如果知道CSRF的就可以不用看了,这篇一点技术含量都没。。。纯属为了保证阵型才写。 CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。...
DVWA之CSRF漏洞
weixin_56306210的博客
03-17 1054
DVWA之CSRF漏洞
4-1csrf基本概念和原理讲解
山兔的博客
07-09 190
CSRF漏洞概述CSRF漏洞测试流程  CSRF(get/post)实验演示和解析  Anti CSRF token  常见CSRF防范措施Cross-site request forgery 简称为“CSRF”。 在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),把这个链接发送给目标用户 然后欺骗目标用户进行点击,用户一旦点击了这个请求,就会在目标的电脑上面,以目标的身份,提交了这个请求,这个请求是一个修改、删除、新增的这样一个操作,整个攻击也就完成了。所以CSRF攻击
Pikachu(皮卡丘)靶场---CSRF
m0_74850066的博客
06-04 337
你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
CSRF课程.pdf
01-25
CSRF课程
Shiro开启CSRF表单防护
12-08
Shiro开启CSRF表单防护
挖掘CSRF之道
10-10
挖掘CSRF之道
Django 解决 CSRF 问题
CHNMSCS
05-29 374
要解决这个问题,就得在 html 里这么修改。在 Django 出现 CSRF 问题。
系统安全扫描扫出了:可能存在 CSRF 攻击怎么办
io_123io_123的博客
05-27 417
系统安全扫描扫出了:可能存在 CSRF 攻击怎么办
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8261
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
406_智能小区管家服务系统的设计与实现-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
毕业设计+项目编程实战+基于BS架构的ASP.NET的新闻管理系统(含程序源代码+毕业设计文档)
最新发布
06-02
前言……………………………………………………………………………….2 第1章 ASP简介…………………………………………………………….…..1 1.1ASP的特点………………………………………………………….1 1.2ASP的优势………………………………………………………….2 1.3 ASP与HTML……………………………………………………….3 1.4 ASP的内置对象……………………………………………………..4 1.4.1 Request对象………………………………………………….4 1.4.2 Response对象………………………………………………..4 第2章 为什么要开发一个新闻发布系统…………………………………………….6 第3章 Access数据库……………………………………………………………8 3.1 数据库概念………………………………………………………….8 3.2 Access数据库特点………………………………………………….8 3.3
python csrf
09-19
CSRF(Cross-Site Request Forgery)是一种常见的网络安全漏洞,攻击者利用用户的身份发起恶意请求。为了防止CSRF攻击,常常需要在请求中使用CSRF-Token来验证请求的合法性。在Python中,可以通过以下几种方式获取并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yuan_boss

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值