CSRF简介

最新推荐文章于 2024-09-21 21:25:21 发布
最新推荐文章于 2024-09-21 21:25:21 发布
阅读量3.7k 收藏
点赞数
文章标签: csrf 服务器 网络 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46429206/article/details/121705925
版权

SSRF原理图:
在这里插入图片描述

黑客通过存在是ssrf漏洞的外网服务器,可以成功访问到内网服务器。

分类:
Basic ssrf:
返回攻击者发送请求的响应,当攻击者发送一个需要访问的 url 给被攻击服务器后,会将 url 服务器的响应内容返回给攻击者。

Blind ssrf:
不会返回url服务器的响应内容给攻击者,只有状态码,因此blind ssrf通常可用来做内网的主机探测

Ssrf常用协议:
file:读取本地文件
Gopher:是一种分布式文档传递服务
Dict:这种URL Scheme能够引用允许通过DICT协议使用的定义或单词列表,可以用来查看端口信息
Sftp:SSH文件传输协议
Tftp:是一种简单的基于lockstep机制的文件传输协议,它允许客户端从远程主机获取文件或将文件上传至远程主机
Idap:代表轻量级目录访问协议
防御:
1、禁止跳转
2、设置白名单
3、统一错误信息,避免用户可以根据错误信息判断远端服务器端口状态

weixin_46429206
关注
六、内网渗透测试——(4)CSRF以及靶场作业
weixin_45540609的博客
04-27 745
CSRF 1、原理 csrf:跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。浏览器在用户不知情的情况下发送数据包。 成因:网站cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要是访问该网站,都会默认已登录状态。在这期间,攻击者发送了构造好的csrf脚本或包含csrf的链接,可能会执行一些用户不想做的功能。 ​ csrf需要适当的诱骗,因为csrf的代码是针对单一网站的。 exp:攻击脚本 poc:验证脚本 2、快速利用CSRF 用Burp抓包,.
Web安全系列:CSRF安全从入门到精通
weixin_68076304的博客
02-25 579
Cross-Site Request Forgery (CSRF) 是一种网络安全攻击,攻击者通过诱骗用户点击恶意链接或访问恶意网站,伪造用户请求,实现对用户账号的非法操作。具体来说这种网络攻击可以盗取用户身份、修改用户数据、执行恶意操作等攻击,如发送恶意邮件、购买商品、提现等操作,从而造成用户的损失。尽管随着Web应用程序的安全意识和防御技术的提升,CSRF攻击的形式和手段在不断变化和演进,但是它仍然是一个常见的安全威胁。
CSRF是什么?
程宇寒
08-09 900
先从一个故事说起(故事纯属虚构,恶意模仿后果自负): 小谷最近遭遇电信诈骗被骗的倾家荡产,于是他想到了报复社会。在知乎上狂点800个没有帮助1000个举报后,他决定做点正事干票捞钱的生意。 「很多视频网站都有赠送礼品的功能,假如所有人都赠送我个礼物,我再转卖掉,不就发财啦」小谷寻思着。 说干就敢,经过一番折腾测试,小谷发现视频网站赠送礼物的接口是: https://xxxx.com/gift/send?target=someone&giftId=ab231 , 原来只要用户在登录状态下请求这
安全之CSRF简介
scorpio的世界
07-07 220
CSRF(Cross-site request forgery)通常称为跨站请求伪造。 攻击原理: 1、用户登录网站A,验证身份,下发cookie并保存在浏览器中 2、用户访问网站B,网站B存在引诱点击,点击访问A网站 3、因为A网站存在cookie,可使用户自动登录A网站并通过身份验证,在A网站上自动执行某些特定操作 例如:新浪微博有一次出现该漏洞,用户是微博(A网站)的登录用户,...
Web应用安全:CSRF简介.pptx
06-18
**跨站请求伪造(CSRF)详解** **1. CSRF的定义与别名** CSRF,全称为Cross-site request forgery,中文名为“跨站请求伪造”,也常被称为one-click attack或session riding。在Web安全领域,它是一种利用用户的已...
信息安全技术:CSRF攻击简介.pptx
11-01
信息安全技术是保障网络环境安全的重要领域,其中,跨站请求伪造(CSRF,Cross-site request forgery)是一种常见的网络安全威胁。CSRF攻击利用了用户已经登录并保存了某些敏感信息的Web应用程序,攻击者通过诱导...
跨站请求伪造(CSRF)漏洞详解
最新发布
CoffeMilk的博客
09-21 1269
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求的攻击方式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造的攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。
csrf及auth模块
Yietong的博客
09-13 519
1. 首先大前提是没有生成 auth_user 表(也就是没进行数据库迁移操作)(有的话需要删干净迁移记录和表)2. 书写一个类, 并继承 AbstractUser 类3. 在类中可以书写你需要扩展的字段, 也可以重写原来的字段username=models.CharField(max_length=12) # 重写字段phone=models.CharField(max_length=32) # 书写新字段。
模型遥控器 CRSF 协议数据格式
03-08
模型遥控器 CRSF 协议数据格式
CSRF介绍
weixin_44070137的博客
12-08 308
对于常规的Web攻击手段,如XSS、CRSF、SQL注入、(常规的不包括文件上传漏洞、DDoS攻击)等,防范措施相对来说比较容易,对症下药即可,比如XSS的防范需要转义掉输入的尖括号,防止CRSF攻击需要将cookie设置为httponly,以及增加session相关的Hash token码 ,SQL注入的防范需要将分号等字符转义,等等做起来虽然筒单,但却容易被忽视,更多的是需要从开发...
CSRF简单介绍
Sy0ung_的博客
06-03 283
CSRF漏洞原理: CSRF攻击需满足条件: CSRF漏洞利用场景 防护方案
CSRF介绍和防御
Liu_Jun_Tao的博客
04-25 2081
CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行一些需要认证身份的操作。 举例说明,比如现在存在正常需要访问的A网站,黑客的B网站,和用户C。 要完成一次CSRF攻击,用户需要完成两步: 1.登录受信任网站,并在本地生成Cook...
CSRF的详细介绍、攻击与防御
EricXiao666的博客
05-05 708
CSRF的攻击与防御 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 1、CSRF漏洞简介 CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻...
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
05-21 6078
这时该转帐请求的 Referer 值就会是转账按钮所在的页面的URL,而如果黑客要对银行网站实施 CSRF攻击,他只能在他自己的网站构造请求,当用户User通过黑客的网站发送请求到WebA时,该请求的 Referer 是指向黑客自己的网站。你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。比如在PHP中,如果使用的是。
CSRF详解
m0_65041566的博客
05-25 1372
目录 什么时csrf CSRF的特点 CSRF攻击 CSRF防御 CSRF绕过 什么时csrf 跨站请求伪造,伪造来自受网站信任的用户的请求来利用该网站 xss:窃取cookie csrf:借用cookie 利用条件: User登录了受信任的网站,且生成了cookie 在不登出该网站的情况下登录了别的危险网站 利用方法: 盗取身份发送邮件,信息等 修改用户信息 。。。 CSRF的特点 一般发起在第三方网站,而不是被攻击网站,所以被攻击网站无法防御 CSRF只能冒
iNavFlight之RC遥控CRSF协议
lida2003的专栏
12-16 5325
本章重点介绍RC遥控CRSF协议,因为博主现在用的遥控器是TX12,外接了ELRS 915MHz发射器。注:前面的坑就不说了,都是通信距离短短惹的货,最后就换遥控器,配大功率发射机。详细可参考。关于【RC摇杆总体逻辑框架】【RC摇杆代码设计框架】这里我们都不再重复了,如果前面那篇没有看过的,点击。
CRSF
Masha
06-18 474
CSRF --cross site request for forgery 跨站点请求伪造 实际 :A-----B 伪:A–C—B c是伪站 解决方式 http:refer的防盗链,B判断http的refer不是本网站的请求可以直接过滤 添加token:因为token的值保存在A的浏览器登陆状态的值,C没办法知道,B校验token是否相等的时候可以对C做处理 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值