CSRF 002

最新推荐文章于 2024-10-16 11:23:07 发布
最新推荐文章于 2024-10-16 11:23:07 发布
阅读量950 收藏
点赞数
分类专栏: 学习小知识碎碎念 文章标签: csrf 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51153624/article/details/126784561
版权

CSRF 002

提示:我的碎碎念,如果有错误的地方,望指正,栓Q

文章目录

CSRF的类型

GET类型

仅需要一个http请求,一般打开网页就中招了

POST类型

通常使用一个自动提交的表单,访问页面后,表单会自动提交,相当于模拟用户完成了一次POST操作。POST相较于GET要求更严格,但不复杂。任何个人网站、博客,被黑客上传页面的网站都有可能是发起攻击的来源,后端接口不能将安全寄托在仅允许POST上面。

链接类型

需要用户点击链接才会触发。这种类型通常是在论坛中发布的图片中嵌入恶意链接,或者以广告的形式诱导用户中招,攻击者通常会以比较夸张的词语诱骗用户点击

CSRF的特点

  1. 攻击一般发起在第三方网站,而不是被攻击的网站
  2. 被攻击的网站无法阻止攻击发生
  3. 攻击利用受害者在被攻击网站的登陆凭证,冒充受害者提交操作,而不是直接窃取数据
  4. 整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”
  5. 跨站请求可以用各种方式:图片URL、超链接、CORS、Form提交等;部分请求方式可以直接嵌入在第三方论坛、文章中,难以进行追踪
  6. CRSF通常是跨域的,因为外域通常更容易被攻击者掌控。但如果本域下又容易被利用的功能,比如可以发图和链接的论坛和评论区,攻击可以直接在本域下进行,而且这种攻击更加危险

传送门(参考链接)

(1条消息) 如何防止CSRF攻击?_小曹要加油的博客-CSDN博客_防止csrf攻击

是榛子耶~
关注
专栏目录
CSRF自动化测试-CSRFTester
weixin_50464560的博客
03-26 1121
0x001 CSRFTester 简介  CSRFTester是一款CSRF漏洞的测试工具。 CSRFTester   CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。 0x002 CSRFTester 环境准备 Wind...
CSRF记录
sinat_38240913的博客
03-05 164
跨域Ajax请求时是否带Cookie的设置_wzl002的专栏-CSDN博客_ajax请求头设置cookie
CSRF 跨站请求伪造
weixin_42008788的博客
01-21 155
CSRF(Cross-Site Request Forgery)是指跨站请求伪造,也常常被称为“One Click Attack”或者“Session Riding”,通常缩写为CSRF或是XSRF。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义进行某些非法操作。CSRF能够使用你的账户发送邮件,获取你的敏感信息,甚至盗走你的财产。 预防跨站请求伪造 1、二次确认 2、Toke...
XSS 和 CSRF 详解
cuomer的博客
07-14 3700
我们常说的网络安全其实应该包括以下三方面的安全:1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和ddos,拒绝服务和分布式拒绝服务攻击。本文主要讲述xss和csrf的...
Laravel - CSRF - 学习/实践
"代码"的日常搬运
08-12 2575
了解Laravel csrf的使用以及工作原理,以及更多的web攻击方式以及相应的防护措施。
CSRF学习
seeicb的博客
05-20 175
title: CSRF学习 date: 2016-04-19 18:45:30 categories: 安全 tags: Web安全 一、简介 CSRF(跨站点请求伪造),即攻击者构造一个URL,通常这个URL是可以完成某种动作,如添加管理员,删除文章等等。然后发送给已登录的用户,当该用户点击此URL时就会触发攻击。 以DVWA为例: 当管理员更改密码时,以GET方式提交链接如下 http://...
Wordpress4.7.4-CSRF漏洞复现
PANDA墨森的博客
08-22 1215
#001 漏洞简介: CSRF漏洞出现的位置是,管理员后台的添加用户和删除用户处均存在CSRF漏洞。 #002 漏洞复现: Part1-添加用户的CSRF: 首先找到添加用户的页面,添加用户,如下图填入相关信息,点击添加 可以看到成功添加,接下来我们试着抓包分析一下 我们试着去抓包看一下有没有加token验证,尝试改一下参数,看能否添加其他用户,构造请求,让管理员点击,就会成功添加新的用户。 接下来具体分析和操作: 首先开启burp的代理拦截,抓包,可以看到是通过PO...
HTTP Status 403 - Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrf‘ or header解决方法
。。。。
08-02 2331
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' o...
浅谈CSRF攻击方式
weixin_30896825的博客
02-13 60
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶...
详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击
09-20
let data = [{"id":"001","name":"小明"},{"id":"002","name":"小军"}]; $.ajax({ url: '/your-url/', type: 'POST', contentType: 'application/json; charset=utf-8', data: JSON.stringify(data), success:...
mmall002.rar
04-16
此外,安全控制如CSRF防护、密码加密、权限验证等也是不可忽视的部分。 总的来说,"mmall002.rar"中的项目展示了SpringBoot在构建高效、易维护的电子商务系统中的优势。从后端服务的搭建到前端页面的实现,每一部分...
python002基于web的旅游门户系统的设计与实现
10-21
此外,为了保证系统的安全性和性能,开发者可能会使用缓存技术(如Redis)、负载均衡(如Nginx)以及安全防护措施(如CSRF、XSS防御)。 综上所述,"Python002基于Web的旅游门户系统"是一个全面覆盖旅游需求的平台...
projiect002.zip
08-20
- **跨站请求伪造(CSRF)**:登录和注册通常涉及到敏感操作,因此需要实施CSRF令牌来防止未经授权的请求。 6. **API交互**:AJAX常用于与后端提供的RESTful API进行交互,获取或发送数据。了解HTTP方法(GET、POST...
[HeyJava][传智播客]BBS-day002-006.rar
07-14
8. **安全性**:基础的Web安全知识,如预防SQL注入、XSS攻击(Cross Site Scripting)以及CSRF(Cross-Site Request Forgery)。 9. **文件上传下载**:在BBS系统中可能需要实现文件上传和下载功能,讲解相关技术和...
pikachu靶场CSRF-get测试报告
ccc_9wy的博客
10-16 610
pikachu靶场渗透;csrf漏洞复现;get方式请求;web漏洞;网络安全;身份验证;
004-按照指定功能模块名称分组
最新发布
xiaogang1226的博客
10-16 361
需要把一个功能模块的几个功能点放在同一个文档目录下,这几个功能点分布在不同的 Controller。需要把他们单独分组,方便前端对接。在@ApiOperation 里面增加属性 tags 赋值。
前端地图数据开发
shuxiaoxii的博客
10-13 344
基于Turf.js教你快速实现地理围栏的合并拆分。turf js 地理空间分析库,处理各种地图算法。如何拆分一个乡镇或区的地图。获取市级的行政区域划分。直接导入地图的json。高德地图查看市级区域。js实现地图区域合并。
前端开发攻略---8种方法实现在浏览器中跨页面通信
nibabaoo的博客
10-15 1234
浏览器实现跨标签页通信的多种方式
前端构建】Webpack: 现代前端开发的核心工具
鑫宝的博客
10-12 1694
在当今复杂的前端开发环境中,Webpack 已经成为了不可或缺的工具。作为一个强大的静态模块打包器,Webpack 不仅简化了开发流程,还大大提高了应用程序的性能和可维护性。本文将深入探讨 Webpack 的核心概念、基本配置、高级特性以及最佳实践,帮助开发者更好地理解和使用这个强大的工具。
CSRF攻击与防御策略详解
跨站请求伪造(Cross-Site Request Forgery, CSRF)是一种常见的网络攻击手段,它利用受害者在已登录状态下对受信任网站的交互,未经授权执行恶意操作。攻击者通过在受害者的浏览器中植入脚本或者引导受害者点击含有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值