CSRF漏洞Token防御介绍

最新推荐文章于 2024-07-28 21:35:23 发布
最新推荐文章于 2024-07-28 21:35:23 发布
阅读量941 收藏 1
点赞数 1
分类专栏: web安全 文章标签: csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46370858/article/details/110142752
版权

1.漏洞修补逻辑分析
CSRF漏洞实质:服务器无法准确判断当前请求是否是合法用户的自定义操作。如果服务器在用户登录之后给予用户一个唯一合法令牌,每一次操作过程中,服务器都会验证令牌是否正确,如果正确那么执行操作。不正确不执行操作。

一般情况下,给予的令牌会写入表单中隐藏域的value值中,随着表单内容进行提交。
2.简单代码模型分析
在这里插入图片描述
3.生成Token代码分析
Token作为识别操作是否是当前用户自己操作的唯一凭证,需要设置为复杂难以被破解的内容。

例如:

function generateToken(){
$salt = “test” . date(“Y/m/d”) ; 出现问题
t o k e n = m d 5 ( token = md5( token=md5(salt);
return $token;
}

调用函数查看生成的token
4.使用Token进行CSRF漏洞防御
1、登录验证成功之后,在会话SESSION[“user_token”]中保存Token。

2、在后台操作中,增删改表单中添加隐藏域 hidden,设置value为Token。

3、提交之后进行验证Token是否正确。
简化代码演示:
Token验证过程,从实践中理解Token防御CSRF的过程。

一米八多的瑞兹
关注
专栏目录
【网络安全】CSRF同样能携带缓存中的Token,那怎么实现的防CSRF
嗨Sirius
03-15 433
Token原理和作用 ①:token和cookie一样都是首次登陆时,由服务器下发,都是当交互时进行验证的功能,作用都是为无状态的HTTP提供的持久机制。 ②:token存在哪儿都行,localstorage或者cookie。 ③:token和cookie举例,token就是说你告诉我你是谁就可以。 cookie 举例:服务员看你的身份证,给你一个编号,以后,进行任何操作,都出示编号后服务员去看查你是谁。 token 举例:直接给服务员看自己身份证 ④:对于token而言,服务器不需要去查看你是谁,不需要
CSRF防御token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
CSRF(跨站请求伪造)漏洞介绍
最新发布
weixin_56233402的博客
07-28 884
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。
Token如何防止CSRF漏洞
Ethan024的博客
03-20 1309
Token如何防止CSRF漏洞 CSRF的主要问题是敏感操作的链接容易被伪造,因此每次请求,都添加一个随机码(需要足够长度,足够随机,不容易被伪造),后台每次对这个随机码进行验证。 实验环境: 皮卡丘靶场—CSRF Token 实验步骤: 输入用户名和密码:lucy/123456 修改信息,将ShangHai修改为ShangHai xxx,并且用burpsuite抓包,可看见响应头设置的Token值。 查看后端源代码,发现input标签里面有个token: 将响应头复制出来进行修改 再重
CSRF漏洞精讲
Kevin's Blog
05-13 1361
文章目录一、漏洞介绍1.1 含义1.2 漏洞实质1.3 攻击过程1.4 满足条件1.5 XSS和CSRF区别二、靶机实战三、漏洞利用四、防御措施 一、漏洞介绍 1.1 含义   CSRF(Cross-site Request Forgery,跨站请求伪造),缩写CSRF,也有少数文章称为XSRF,一种利用用户在当前已登录的Web应用程序上执行非本意操作的攻击方法(利用受害者尚未失效的身份认证信息(cookie,会话等),创建恶意伪造的web页面请求,在受害者不知情的情况下向服务器发送请求完成非法操作(转账、
关于token防止CSRF的一点想法
clover_rui的专栏
03-14 1190
一、生成策略 1、服务器端根据一定算法,生成token; 2、保存到session中; 3、前台form表单中取到session放到隐藏标签内; 4、提交表单后和session中token比较,然后失效掉原先的session; [color=red][b]示例代码:[/b][/color] [code="java"] class Token...
CSRF漏洞token防御介绍-01
09-15
CSRF 漏洞 Token 防御介绍 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的 Web 应用安全漏洞,它允许攻击者在用户不知情的情况下,伪造用户的请求,导致用户执行非预期的操作。为了防御 CSRF 漏洞...
对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍
10-16
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种安全漏洞,攻击者可以利用用户的浏览器中现有的cookie等身份验证信息,向目标网站发起恶意请求。CSRF攻击可以迫使用户的浏览器在不知情的情况下执行恶意操作...
CSRF漏洞防御-01
09-15
CSRF漏洞防御主要包括四种方法:验证码防御、Referer Check防御、Anti CSRF Token防御Token泄露。 验证码防御 验证码防御是一种非常简单而且有效的防御方法。它可以强制用户与应用程序交互,才能最终完成操作。...
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
本文主要介绍了网络安全领域中常见的几种攻击手段,包括CSS注入、越权访问、csrf-token窃取以及XSS跨站脚本攻击,并通过WHUCTF比赛中的一个实例进行了详细的解析和实践操作的分享。以下是对这些知识点的详细说明: ...
csrf漏洞防御方案_CSRF原理实战及防御手段
weixin_42523260的博客
01-14 1655
注:本文仅供学习参考csrf定义:CSRF跨站点请求伪造(Cross—Site Request Forgery)攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。个人理解(我是没权限修改你信息,但如果这个站点存在csrf的话,你想完成转账修...
4-3csrf token详解以及常见的防范措施
山兔的博客
07-10 5933
CSRF(post)实验演示和解析  Anti CSRF token  常见CSRF防范措施CSRF的主要问题是敏感操作的链接容易被伪造,那么如何让这个链接不容易被伪造? -每次请求,都增加一个随机码(长度要够,需要够随机,不容易伪造),后台每次对这个随机码进行验证!就是这个token值Ant上CSRFtoken)项目的token生成代码:当我们每次请求修改页面的时候,后台会先去调用一个函数,在实际的系统里面,会写的更复杂一点,当我们去请求页面的时候,后台会去查一下session里面,有没有tok
CSRF漏洞
一醉一休的博客
03-05 389
CSRF(Cross-site request forgery ,跨站请求伪造),也被称为 one click attack。是一种对网站的恶意利用。尽管听起来像跨站脚本攻击(XSS),但是它与 XSS非常不同, XSS 利用站点内的信任用户,而 CSRF则通过伪装受信任用户请求受信任的网站。与 XSS 攻击相比,CSRF 攻击不大流行,也难以防范 攻击原理如下: (1).用户打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A (2).在用户信息通过验证后,网站A产生Cook
前端安全系列之二:如何防止CSRF攻击?
qkh1234567的博客
05-15 1226
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.com的Cookie。
Token验证对CSRF的意义
JBlock的博客
10-28 3968
在前面我已经就DVWA作为实验环境对csrf攻击进行了测试,并且利用漏洞成功修改了密码。实现了了跨站请求伪造攻击。而攻击成功的原因就是因为验证机制不够严谨。今天我就当前最流行的也是最安全的验证机制做一下讨论。Csrf攻击的本质就是重要操作的所以参数都可以被攻击者猜测了解到。攻击者知道所以参数的意义就可以构造出合适的链接发起攻击。所以,有一种解决方案就是对参数进行加密,但这样对数据分析工作和数据收藏就
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2860
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
为什么 token可以防止 csrf?
weixin_38655450的博客
06-18 647
Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 ...
为什么token能够防止CSRF(修正版)
qq_45888932的博客
04-06 1万+
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
CSRF漏洞原理,通过csrf进行地址修改实验演示,token详解及常见防范措施
weixin_43858799的博客
05-08 1275
CSRF漏洞原理,通过csrf进行地址修改实验演示,token详解及常见防范措施 一、CSRF漏洞原理 Cross-site request forgery 简称为"CSRF" 在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接) 然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击也就完成了 所以CSRF攻击也被称为为“one click”攻击 eg: 如果想要修改luc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一米八多的瑞兹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值