Node中的CSRF攻击和防御

最新推荐文章于 2024-08-08 15:43:27 发布
最新推荐文章于 2024-08-08 15:43:27 发布
阅读量202 收藏 5
点赞数 4
文章标签: csrf 网络 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47121832/article/details/141027971
版权

Node中的CSRF攻击和防御

假设有一个网上银行系统,用户可以通过该系统进行转账操作。转账功能的URL可能是这样的:

https://www.bank.com/transfer?toAccount=123456&amount=1000

当用户登录到银行系统,并在浏览器中访问这个URL时,银行系统会执行转账操作,将1000元转入账户123456。

CSRF攻击过程:

  1. 受害者登录:用户Alice登录到她的网上银行账户(比如www.bank.com)。

  2. 攻击者准备攻击页面:攻击者Eve创建了一个恶意网站www.evil.com,并在该网站上嵌入了一段HTML代码或JavaScript代码,试图利用CSRF漏洞:

    <img src="https://www.bank.com/transfer?toAccount=999999&amount=1000" style="display:none">

    或者通过JavaScript发送请求:

    var img = new Image();
img.src = "https://www.bank.com/transfer?toAccount=999999&amount=1000";

  3. 受害者访问恶意网站:当Alice在已经登录银行系统的情况下,访问了Eve的恶意网站,浏览器会自动执行页面中的代码,发送一个请求到银行系统。

  4. 请求执行:因为Alice已经在银行系统中登录,浏览器会带上Alice的会话Cookie。这时,银行系统收到请求后,会认为这是一个合法的请求,并执行转账操作,将1000元转入攻击者的账户999999。

防御措施:

  • 设置后端的cookie 禁止跨域携带cookie 我们只需要把cookie设置的 SameSite:Strict即可;
  • 验证 referer和Origin 每个页面都会带这哥俩 通过验证这哥俩也就可以了
  • 使用token 每一次请求都带token
  • 使用验证码 要求用户进行敏感操作的时候 填写验证码
  • 表单随机数(这种做法是在服务端渲染的时候用)
    • 1.生成一个随机数放到 session中
    • 2.生成页面时,表单中加入一个隐藏的表单域 : <input type="hidden" name:"Hash" value="<%=session['key']%>">
    • 3.服务端 进行验证随机数
    • 4.清除session中的随机数
  • 二次验证,比如要求用户获取验证码进行验证
我叫汪枫
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS的攻击防御代码的简单演示
04-25
在“XSS的攻击防御代码的简单演示”,我们将探讨XSS的分类、攻击方式以及如何通过编程防御这些攻击。首先,XSS通常分为三种类型:存储型XSS、反射型XSS和DOM型XSS。 1. 存储型XSS:攻击者将恶意脚本插入到网站...
基于vue和node网络安全与防御实践项目(免费提供全部源码)
06-09
基于Vue和Node网络安全与防御实践项目是一个完整的Web应用程序,旨在展示和实践网络安全技术和防御策略。该项目免费提供全部源码,供学习和参考,帮助用户掌握前后端安全开发的基本技能。 项目功能: 用户认证与...
CSRF防御及模拟CSRF攻击
qq_37550440的博客
07-19 1032
防御csrf攻击方式 CSRF Token则是为了防止跨站请求伪造攻击而设计的。在CSRF攻击攻击者试图诱使已登录的用户在不知情的情况下执行恶意操作,例如转账或改变账户设置。CSRF Token是一种额外的安全措施,用来确认发起请求的页面是可信任的源。
前端安全:CSRF攻击防御
天涯学馆
06-07 1042
CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击是一种允许攻击者通过受害者的身份执行非预期操作的安全威胁。为了防御这种攻击前端开发者通常需要结合后端验证和特定的前端策略。
CSRF攻击与XSS攻击,怎么防御 @by_TWJ
u010101252的博客
03-29 564
CSRF与XSS的区别,还有怎么防御
关于CSRF及其防御
Wang的专栏
06-06 703
【代码】关于CSRF及其防御
NodeJs 第二十四章 CSRF攻击防御
aXin_li的博客
02-21 823
跨站请求伪造是一种攻击,它迫使最终用户在其当前经过身份验证的 Web 应用程序上执行不需要的操作,例如转移资金、更改电子邮件地址等。例如,这些非预期请求可能是通过在跳转链接后的 URL 加入恶意参数来完成:对于在 https://www.baidu.com 有权限的用户,这个标签会在他们根本注意不到的情况下对 https://www.baidu.com 执行这个操作,即使这个标签根本不在 https://www.baidu.com 内亦可。:恶意网站把作为,通过模拟正常用户的操作,攻击其的站点。
防止CSRF攻击
SK_study的博客
01-27 2665
防止 CSRF攻击
XSS攻击CSRF攻击
Geolias的博客
07-14 590
CSRF攻击 CSRF攻击介绍 CSRF(Cross-site request forgery):跨站请求伪造。 简易理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 原理 1. 用户C打开浏览器,访问受信任网站A,输入用
实战:Express 模拟 CSRF 攻击
程序员成长指北
05-20 274
CSRF攻击前端领域常见的安全问题,概念方面不再赘述,可以参考维基百科。对于这些概念,包括名词定义、攻击方式、解决方案等估计大家都看过不少,但留下印象总是很模糊,要动手操作一番才能加深...
XSS 和 CSRF 攻击详解
xnxqwzy的博客
05-01 378
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Node.js-ProtectbyRisingStack主动保护您的Node.jsWeb服务
08-10
由于Node.js是异步、事件驱动的,其设计使得它在处理高并发请求时表现出色,但同时也可能引入潜在的安全风险,如注入攻击、跨站脚本(XSS)、跨站请求伪造(CSRF)等。RisingStack的Protect工具就是为了帮助开发者解决...
Node.js开发学员考试系统-testSystem.zip
01-31
Node.js的安全库如helmet可以帮助提升服务器的安全性,设置HTTP头部来防御常见攻击。另外,使用CSRF(跨站请求伪造)防护策略可以保护用户免受恶意操作。 在部署方面,考试系统可以借助于Heroku或Docker这样的云...
pikachu 之CSRF(跨站请求伪造)get和post型
LIU6636LIU的博客
07-23 713
pikachu 之CSRF(跨站请求伪造)get和post型
J031_使用TCP协议支持与多个客户端同时通信
lzn20161229的博客
08-03 488
使用TCP协议支持与多个客户端同时通信。
SSH 和 Telnet 之间的区别
最新发布
ITmoster的博客
08-08 156
SSH 和 Telnet是帮助用户与远程系统建立连接的两种通信协议,这些通信协议决定了数据如何在网络上的不同设备之间传输,这些设备通常需要通过各种物理和数字环境进行传输,网络协议的主要目标是通信、网络管理和安全。
【haproxy】haproxy基本配置信息
m0_64570996的博客
08-08 720
就是通过发布三层的IP地址(MIP),然后加四层的端口号,来决定哪些流量需要做负载均衡,对需要处理的流量进行NAT处理,转发至后台服务器,并记录下这个TCP或者UDP的流量是由哪台服务器处理的,后续这个连接的所有流量都同样转发到同一台服务器处理。所谓的四到七层负载均衡,就是在对后台的服务器进行负载均衡时,依据四层的信息或七层的信息来决定怎么样转发流量。Webserver1---172.25.254.10--下载ngnix!Webserver2---172.25.254.20--下载ngnix!
CentOS7 VMware虚拟机基于NAT配置网络IP
记录工作中遇到的问题以及解决方案
08-05 608
平时学习时一直需要用到Linux服务器,一般都是在Windows上安装VMware来创建一个虚拟机。创建的虚拟机需要配置网络才能够访问外网,可以通过以下两种方式来配置虚拟机网络使用桥接模式要保证虚拟机的网卡和物理机能上外网网卡的网段保持一致,如果物理机的上网网段经常变化,显然桥接模式就很不合适。所以这里使用 NAT 模式,物理机和虚拟机之间的通信是通过在物理机上生成的VMware Network Adapter VMnet8虚拟网卡和虚拟机的虚拟网卡进行连接通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值