第十天 看书笔记--CSRF漏洞

最新推荐文章于 2024-04-28 09:39:05 发布
最新推荐文章于 2024-04-28 09:39:05 发布
阅读量109 收藏 2
点赞数
分类专栏: Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46653764/article/details/106680627
版权

一、CSRF

1、CSRF是跨站请求伪造,xss是利用站点内的信任用户,而CSRF则是通过伪装成受信任用户请求受信任的网站

2、可以这样理解,就是攻击者利用目标用户的身份,以目标用户的名义执行某些非法操作。↓

CSRF攻击过程有两个重点↓

—目标用户已经登录了网站,可以执行网站功能
—目标用户访问了攻击者构造的URL

3、防护可以用CSRF token验证
在这里插入图片描述

二、SSRF

1、服务器端请求伪造,常用的协议是file,危害是可以任意读取本地文件

http://192.168.x.x/pikachu-master/vul/ssrf/ssrf_curl.php?url=file://C:\1\1.txt(可读取本地文件)
在这里插入图片描述

Sanfer23
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全系列-如何防止CSRF攻击
javagty6778的博客
03-07 319
Token是一个比较有效的CSRF防护方法,只要页面没有XSS漏洞泄露Token,那么接口的CSRF攻击就无法成功。但是此方法的实现比较复杂,需要给每一个页面都写入Token(前端无法使用纯静态页面),每一个Form及Ajax请求都携带这个Token,后端对每一个接口都进行校验,并保证页面Token及请求Token一致。这就使得这个防护策略不能在通用的拦截上统一拦截处理,而需要每一个页面和接口都添加对应的输出和校验。这种方法工作量巨大,且有可能遗漏。
前端安全系列之二:如何防止CSRF攻击?
javagty6778的博客
03-07 468
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。
笔记-面试】《imooc -前端跳槽面试技巧》、《imooc- 揭秘一线互联网企业 前端javaScript高级面试》、《imooc-前端javascript面试技巧》
aSuncat
02-04 1646
前端开发面试技巧,从html/ css/ javaScript/ vue/ hybrid等技术方面谈起,到面试过程中的注意事项及面试技巧,大大提高了一线互联网公司的面试成功率,拿到大厂offer不是梦。
<The django book> & <Offical site basic tutorial> - 读书笔记
weixin_30417487的博客
05-12 701
我的选择是Django,原因是我什么都不知道,没什么特别原因。 Django有什么缺点呢? THIS. 这是我目前看得书《The django book》:THIS_CN(of course, u can choseTHIS_EN),这是官网的。 我看了一遍<The django book>,但是感觉不够,因为Django 1.5有变化,还因为,我感觉我对...
常见WEB漏洞原理分析
zzz6583zz的博客
04-28 650
看书阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;但是就目前来看,书籍是比较靠谱的入门资料。现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。如果以上推荐书籍阅读有困难,那就找自己能看得进的 Web 安全的书当然纸上谈兵终觉浅,最好还是实践一下。对于那些没有学习方向和资料的同学,可以看下我整理的资源,这份资料经历过社会的实践,可以说是当下全网较全的网络安全知识体系:①网络安全学习路线②20份渗透测试电子书。
读书笔记之 大型网站技术架构(核心原理与案例分析)
咖啡色的羊驼
01-23 3272
前言坚持看了十几天的书,终于完成了毕业后第一次静下心来,利用业务时间看书并做笔记的成就了。废话不多说,这回看的是一直很膜拜的李智慧大神写的大型网站技术架构-核心原理与案例分析。简短的读后感极其推荐的一本书,其实我是第二遍读这本书了,第一遍读的时候还没有毕业,读到一半发现很多都没有经历过,便放弃了。正好正在经历着一个大项目的成长中,如今再次读起这本书,多了几分熟悉,多了几分感悟。本书较为易懂,可能是因
Web前端黑客技术揭秘{笔记}
weixin_30279315的博客
12-03 904
前些日子看完了白帽子讲Web安全,当时就PHP安全一章做了点小笔记,感觉看书还是留下点东西比较好。翻开Web前端黑客技术揭秘一书决定要做笔记,但是这样下来其实进度就比较慢了,敲字做笔记绝对远比看书来的慢。有时候上午看完的内容做笔记时要花一天时间,一方面是要敲字,另一方面是自己只从书上摘录部分内容有时候需要将其串起来,还有就是碰上自己想发两句言也会拖慢进度。总之现在书是看完了,要消化的东西有挺多的,...
深入浅出Node.js 的读书笔记
weixin_34228662的博客
07-02 67
为什么80%的码农都做不了架构师?>>> ...
《大型网站技术架构:核心原理与案例分析》笔记
xzqxiaoqing的博客
11-16 281
《大型网站技术架构:核心原理与案例分析》笔记 目录 · 大型网站软件系统的特点 · 大型网站架构演化发展历程     · 初始阶段的网站架构         · 需求/解决问题         · 架构     · 应用服务和数据服务分离         · 需求/解决问题         · 架构     · 使用缓存改善网站性能         · 需求/解决问题   ...
CSRF-Protector-PHP:CSRF保护器库
05-10
CSRF保护器 CSRF保护器php,一个独立的php库,用于缓解Web应用程序中的csrf。 易于集成到任何php Web应用程序中。 使用packagist添加到您的项目 将composer.json文件添加到您的项目目录 { " require " : { " ...
ng-rails-csrf:of-rails-csrf
06-14
ng-rails-csrf 一起使用 AngularJS 和 Rails? 如果您正在发出任何 HTTP 请求,那么“ng-rails-csrf” gem 可以通过自动将 CSRF 令牌添加到 HTTP 标头来提供帮助。 如果您使用 CSRF 保护,Rails 将不会接受没有此...
52-52.渗透测试-什么是CSRF漏洞.mp4
最新发布
05-10
52-52.渗透测试-什么是CSRF漏洞.mp4
hucart-含有CSRF漏洞的源码.zip
12-31
在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际的示例,让我们深入探讨一下CSRF漏洞的原理、危害以及防范措施。 1. **CSRF漏洞原理**: CSRF漏洞通常发生在Web应用程序中,这些应用未对请求进行...
2021-5-10CSRF漏洞实例
05-13
2021-5-10CSRF漏洞实例,对新手比较友好
第二十五天 python编写安全工具
weixin_46653764的博客
07-23 1486
一、HTTP状态码的获取 1、用GET方式来获取状态码,代码如下↓(要先下载requests的库) import requests url = "https://httpbin.org" r = requests.get(url) s = r.status_code print s 二、python-http请求 1、get请求(r.url来获取请求的URL) (1)无参数类型的 requests.get(url) import requests url = "https://www.baidu.com"
第十一天 学习工具nmap
weixin_46653764的博客
06-16 1031
一、 —扫一个目标 namp 192.168.108.132 —扫多个目标 nmap 192.xxx,192.xxx … 用逗号分隔开就行 nmap 10.73.31.1,15,30… 在同一个子网,最后的数字可以用逗号隔开 nmap 10.73.31.1-100 也可以这样扫描一系列ip地址 nmap 10.73.31.* 扫描范围内的目标,星号是0~255 结合使用 nmap 10.73.1-100.* nmap 10.73.31.1/24 CIDR,可以列出在我的网络上的东西 可以把多
第五天 小迪-信息收集篇
weixin_46653764的博客
05-20 786
已经学会了如何在服务器上搭网站了哈哈,在记录谷歌语法时,因为登不了谷歌搜索,就用百度代替吧 一、谷歌语法 1、基本符号 【""】 双引号 完全匹配搜索,如"有限公司" 【+】 指定一个一定存在的关键字 如 “有限公司” +百科 (有限公司后有空格的) 【-】 指定一个一定不存在的关键字 如 “有限公司” -百科(有限公司后有空格的) 【|】 或(满足其中一个条件即可)如 有限 | 责任,这样可以找到有 有限或责任 或者有限责任的关键字的网站 【AND】 且,都满足 如 有限.
第二十天 CTF初识
weixin_46653764的博客
06-26 723
一、记下一些不知道的小知识 (1)常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history 而 php的备份有两种:****.php~和.php.bak (2)去了解php的弱类型 (3)
python x-csrf-token
05-13
# 假设 CSRF Token 存储在变量 csrf_token 中 csrf_token = "your_csrf_token_here" # 构造请求头 headers = { "X-CSRF-Token": csrf_token, "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) Apple...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值