CSRF漏洞小记

最新推荐文章于 2024-09-11 04:30:40 发布
最新推荐文章于 2024-09-11 04:30:40 发布
阅读量209 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46676743/article/details/108389834
版权

CSRF漏洞小记

实例:2007年Gmail的CSRF漏洞

https://www.davidairey.com/google-Gmail-security-hijack/

#什么是CSRF漏洞
Cross-site Request Forgery
跨站请求伪造
攻击者盗用了你的身份,以你的名义发送恶意请求
CSRF能够做的事情:以你的名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账

#CSRF漏洞利用条件

–(服务器对客户端的信任)用户已获取服务器认证,登陆网站,并在本地生成cookie(已进行网页认证)

–攻击者(或黑客)提供的恶意链接,受害者必须在不登出存在漏洞的网站,同时使用一个浏览器打开(可通过社工的方法)

–网站除了验证cookie,没有特殊验证方法

#CSRF漏洞检测方法

–使用OWASP CSRFTester工具进行检测。它是OWASP推出的CSRF半自动化软件,省去了CSRF最繁琐的过程-------代码构造。 使用代理抓取我们在浏览器中访问过的所有的连接及表单等信息,修改相应的表单等信息,重新提交,如果测试请求成功被网站服务器接受,则说明存在CSRF漏洞。

–使用burpsuite对CSRF漏洞进行检测。 首先抓取认为可能存在CSRF漏洞 的请求数据包,然后查看是否存 在token或referer验证。 如果不存在验证则可能存在CSRF 漏洞,此时可使用burpsuite的 Engagement tools 去生成 CSRF 漏洞的PoC,去验证CSRF 漏洞。

#常见的CSRF攻击类型

–GET类型:
这种类型的CSRF一般是由于程序员安全意识不强造成的。GET类型的CSRF利用非常简单,只需要一个HTTP请求:

<img src=http://wooyun.org/csrf?xx=11 />

在访问含有这个img的页面后,成功向http://wooyun.org/csrf?xx=11发出了一次HTTP请求。所以,如果将该网址替换为存在GET型CSRF的地址,就能完成攻击了。
–POST类型:
这种类型的CSRF危害没有GET型的大,利用起来通常使用的是一个自动提交的表单:

  <form action=http://wooyun.org/csrf.php method=POST>
                <input type=“test” name=“xx” value=11/>
      </form>
      <script> document.forms[0].submit(); </script>

访问该页面后,表单会自动提交,相当于模拟用户完成了一次POST操作

#XSS与CSRF区别

CSRF:需要用户先登录网站A,获取 cookie

XSS:不需要登录

CSRF:是利用网站A本身的漏洞,去请求网站A的API

XSS:是向网站 A 注入 JS代码,然后执行 JS 里的代码,篡改网站A的内容

#防御CSRF的策略
–验证 HTTP Referer 字段

–在请求地址中添加 token 并验证

–在 HTTP 头中自定义属性并验证

sash1mi
关注
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2522
本篇总结归纳CSRF漏洞
csrf漏洞
m0_55772907的博客
04-27 790
  CSRF(Cross-site Request Forgery,跨站请求伪造),缩写CSRF,也有少数文章称为XSRF,一种利用用户在当前已登录的Web应用程序上执行非本意操作的攻击方法(利用受害者尚未失效的身份认证信息(cookie,会话等),创建恶意伪造的web页面请求,在受害者不知情的情况下向服务器发送请求完成非法操作(转账、改密等))。   简言之,攻击者间接利用受害者合法身份,以其身份发送恶意请求。 1.2 漏洞实质   攻击者通过技术手段欺骗用户的浏览器访问
CSRF漏洞详解
xcxhzjl的博客
11-19 3263
一、CSRF漏洞原理 1、基本原理 CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。 2、流程图 3、条件 ●用户成功登陆了网站系统,能执行授权的功能 ●目标用户访
csrf攻击原理与解决方法_CSRF攻击防御原理
最新发布
2401_86963437的博客
09-11 460
为了防止CSRF的发生,创建Token处理机制,Token数据结构与时间、加密签名直接相关, 这么设计的的目的如上所说,是给“身份凭证”加上时间生存周期管理和签名校验管理,如果的凭证被人拿到了, 要先判断Token中的“签名”与时间戳是否都有效,再进行正常的业务处理, 这样通过对非法数据的校验过滤,来降低CSRF攻击的成功率。
CSRF漏洞
热门推荐
weixin_39861994的博客
10-29 1万+
一、CSRF漏洞介绍: CSRF是指利用受害者尚未失效的身份认证信息( cookie、会话 等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下 以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。 CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用 二、CSRF类型: get请求型CSRF 只需要构造URL,然后诱导受害者访问利用。 POST请求型CSRF 构造自动提交的...
hucart-含有CSRF漏洞的源码.zip
12-31
在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际的示例,让我们深入探讨一下CSRF漏洞的原理、危害以及防范措施。 1. **CSRF漏洞原理**: CSRF漏洞通常发生在Web应用程序中,这些应用未对请求进行...
CSRFScanner:Python CSRF漏洞扫描器
05-06
Python CSRF漏洞扫描器 描述 CSRFScanner是一种用于扫描网站以查找CSRF漏洞的工具。 这是一个基本工具,不是很人性化,我最初是出于学术目的而开发的。 可以在PDF CSRFScanner_Explications.pdf(以法语编写)中...
网络安全CSRF漏洞
qq_52074678的博客
05-08 1847
目录 一.什么是CSRF漏洞🍔🍔🍔 1.实现流程 2.原理 二CSRF案例分析 2.CSRF漏洞的危害 3.CSRF和XSS区别 4.CSRF playload 1)通过图片的img src属性,自动加载,发起GET请求 2)构建一个超链接,用户点击以后,发起GET请求 3)构建一个隐藏表单,用户访问,自动提交,发起POST请求 三CSRF漏洞挖掘 1.检测工具 四CSRF漏洞防御 1.防御思路 a。我们能不能区分一个请求是来自于自己的前端页面,还是第三方的网站? HTT
Web漏洞CSRF(跨站请求伪造漏洞)详解
weixin_46669844的博客
02-04 2762
跨站请求伪造,冒用Cookie中的信息,发起请求攻击。CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
Csrf漏洞简介
Amire0x的小乐园
05-06 595
Csrf 简介 Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。通过伪装来自受信任用户的请求来利用受信任的网站。 在跨站请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策...
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
ewii12567的博客
08-15 1250
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 2900
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
【web渗透】CSRF漏洞详细讲解
qinshuoyang1的博客
08-03 6170
CSRF(Cross-Site Request Forgery),也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。
day07CSRF漏洞
欧气满满大顺顺的博客
04-21 1328
深度解析:CSRF漏洞原理与防御策略
CSRF漏洞,全称为Cross-Site Request Forgery,是一种常见的Web安全问题,常常被列入OWASP十大最严重安全漏洞之列。它与XSS和SQL注入并列为网络安全三大主要威胁。尽管CSRF的关注度相对较低,但它潜在的危害不容忽视...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值