Cross-site request forgery (CSRF)跨站请求伪造

最新推荐文章于 2024-05-22 22:09:28 发布
最新推荐文章于 2024-05-22 22:09:28 发布
阅读量211 收藏
点赞数
分类专栏: Web 漏洞 文章标签: csrf 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/130466065
版权

文章目录

一.漏洞场景

在这里插入图片描述

在特殊场景下,客户端向服务器发起更改状态的请求,容易产生CSRF 漏洞。
常见场景:
●银行转账
●修改密码

二.漏洞描述

跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求,而不是盗取数据,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。因为攻击者无法查看伪造请求的响应。

三.漏洞原理

攻击者可以伪造当前已经登录用户的身份访问正常的网站,执行非本意的操作。正常的网站,没有对来源请求进行严格的验证和过滤,导致攻击者可以伪造正常用户的请求,达到攻击目的。

四.漏洞危害

攻击者借用正常用户的身份,发起更改状态的请求,如:
●银行转账
●修改用户密码
●修改邮箱
●群发消息
●与XSS 漏洞相结合创建网站后台管理员账号
●…

五.漏洞等级

高危

六.漏洞防御

CSRF 令牌- CSRF 令牌是由服务器端应用程序生成并与客户端共享的唯一、秘密且不可预测的值。当尝试执行敏感操作(例如提交表单)时,客户端必须在请求中包含正确的 CSRF 令牌。这使得攻击者很难代表受害者构造有效请求。
SameSite cookie - SameSite 是一种浏览器安全机制,用于确定网站的 cookie 何时包含在来自其他网站的请求中。由于执行敏感操作的请求通常需要经过身份验证的会话 cookie,因此适当的 SameSite 限制可能会阻止攻击者跨站点触发这些操作。自 2021 年起,ChromeLax默认强制执行 SameSite 限制。由于这是提议的标准,我们希望其他主要浏览器将来也能采用这种行为。
基于 Referer 的验证——一些应用程序使用 HTTP Referer 标头来尝试抵御 CSRF 攻击,通常是通过验证请求是否来自应用程序自己的域。这通常不如 CSRF 令牌验证有效。

gaynell
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
webgoat-Request Forgeries 请求伪造
seanyang_的博客
11-07 588
请求伪造,又称一键攻击或会话骑乘,简称CSRF (有时发音为 sea-surf)或 XSRF,是一种恶意利用网,其中传输未经授权的命令 来自网信任的用户。与点脚本 (XSS) 不同,XSS 利用用户对特定点的信任,CSRF 利用网对用户浏览器的信任。这是最简单的 CSRF 攻击。如果用户仍然登录到 bank.com 的网,这个简单的GET请求会将资金从一个账户转移到另一个账户。当然,在大多数情况下,网可能很多控制来限制这样的请求
xss和csrf详解
weixin_33737774的博客
08-29 314
XSSCross site scripting,全称“脚本”特点是不对服务器造成任何伤害,而是通过一些正常的内交互途径,例如发布评论时,提交含有js的内容文本,而服务器没有过滤掉或者转义掉这些脚本,作为内容发布到页面上,那么其他用户在访问的时候就会运行这些脚本。for example:​ // 用 <script type="text/javascript"></scrip...
CSRF 攻击详解
最新发布
只为成功找方法 不为失败找借口
05-22 990
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
请求伪造CSRFCross-site request forgery
石页
01-30 2702
目录 一、什么是CSRF 二、可能存在CSRF攻击的三个条件 一个相关的动作 基于 Cookie 的会话处理 没有不可预测的请求参数 二、常见的CSRF攻击 1、CSRF令牌的验证取决与请求方法 2、CSRF令牌的验证取决与令牌是否存在 3、CSRF令牌没有绑定到会话 4、CSRF令牌绑定到非会话cookie 5、CSRF令牌复制于COOKIE 6、基于Referer的CSRF防御...
【burpsuite安全练兵场-客户端12】请求伪造CSRF-12个实验(全)
wangluoanquan111的博客
03-19 1812
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
什么是HTTP协议中的请求伪造CSRF)?如何防范?
长风破浪会有时的博客
04-29 197
具体来说,当你登录了一个网(比如银行网或者购物网)之后,你的浏览器会保存一些信息,让你在接下来的浏览中保持登录状态。这个时候,如果你不小心访问了一个恶意的网,这个网可能会在背后偷偷地向你刚刚登录过的网发送请求,就像是用你的名义去告诉银行:“请把我的钱转到这个账户。:这是一种特殊的标记,每次你访问网时,网都会给你一个新的Token。请求伪造CSRF)就像是一个坏人在你不知道的情况下,偷偷用你的名义去做一些不好的事情。这就像是你的朋友只接受来自你的电话,不接受陌生人的电话一样。
Exploit-DMA-Radius-Manager-4.4.0---Cross-Site-Request-Forgery-CSRF-:DMA Radius Manager 4.4.0-请求伪造CSRF
04-10
【标题】"Exploit-DMA-Radius-Manager-4.4.0---Cross-Site-Request-Forgery-CSRF-"揭示了一个针对DMA Radius Manager 4.4.0版本的安全漏洞,该漏洞涉及到请求伪造CSRF)攻击。这是一种网络安全威胁,允许攻击...
Django CSRF请求伪造防护过程解析
01-01
CSRF全称Cross-site request forgery请求伪造),是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 攻击原理 1、用户访问正常的网A,浏览器就会保存网A...
CSRF请求伪造CSRF PHP demo代码
05-04
CSRFCross-Site Request Forgery请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
CSRF请求伪造实例程序
11-07
CSRFCross-Site Request Forgery请求伪造)是一种常见的网络安全威胁,攻击者通过诱导用户在不知情的情况下执行非预期的操作,如修改账户设置、进行非法转账等。在这个"CSRF请求伪造实例程序"中,我们将...
qingmvc#qingmvc#CSRF-请求伪造1
07-25
Cross-site request forgery 请求伪造常见的请求伪造:微博关注操作:get,访问一条链接就关注成功 【除非是某种不受限的api】
前端安全系列之二:如何防止CSRF攻击?
weixin_34416754的博客
10-12 363
背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端...
教你轻松解决CSRF请求伪造攻击
华为云官方博客
04-21 4743
CSRFCross-site request forgery请求伪造,通过伪装来自受信任用户的请求来利用受信任的网。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
浅谈CSRFCross-site request forgery请求伪造(写的非常好)
ball4022的博客
08-23 173
# 浅谈CSRFCross-site request forgery请求伪造(写的非常好) 一CSRF是什么 CSRFCross-site request forgery请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网的恶意利用。尽管听起来像脚本(XSS),但它与XSS非常不同,...
DVWA 之 Cross Site Request Forgery (CSRF)
baynk的博客
10-29 2249
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ CSRF...
CSRF-请求伪造
TPH_BETTER.的博客
04-01 227
转自:https://blog.csdn.net/yun_ld/article/details/100048967 CSRF攻击全称为:Cross-site request forgery,直接翻译为:请求伪造。直接看名称还是有点难以理解,容易跟XSS攻击搞混。在讲解如何防御之前,首先看看如何攻击,举个简单的攻击例子: 小明的悲惨遭遇 这一天,小明同学百无聊赖地刷着Gmail邮件。大部分都是没营养的通知、验证码、聊天记录之类。但有一封邮件引起了小明的注意:甩卖比特币,一个只要998!! 聪明的小明当然知
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
NARUTONEPIECE的博客
01-31 425
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
Cross-Site Request Forgery (CSRF)
zhigangsun的专栏
04-20 5244
Overview CSRF is an attack which forces an end user to execute unwanted actions on a web application in which he/she is currently authenticated. With a little help of social engineering (like sending
CSRF (Cross Site Request Forgery)
wwq518的博客
09-03 334
csrf
Cross-Site Request Forgery (CSRF) Attack Lab
09-04
Cross-Site Request Forgery (CSRF) Attack Lab是一个网络安全实验,旨在测试和演示请求伪造攻击(CSRF)的原理和实践。实验中通过创建恶意网页和利用漏洞,攻击者可以伪造用户身份进行各种未经授权的操作,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值