跨站点请求伪造(CSRF)

最新推荐文章于 2024-07-30 16:49:30 发布
最新推荐文章于 2024-07-30 16:49:30 发布
阅读量8.6k 收藏 12
点赞数 5
分类专栏: web知识 文章标签: csrf 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52851967/article/details/125992627
版权

CSRF攻击的全称是跨站请求伪造( cross site request forgery ):是一种对网站的恶意利用,尽管听起来跟XSS跨站脚本攻击有点相似,但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。

简单理解:一种可以被攻击者用来通过用户浏览器冒充用户身份向服务器发送伪造请求并被目标服务器成功执行的漏洞被称之为CSRF漏洞。 

特点:

  • 用户浏览器:表示的受信任的用户
  • 冒充身份:恶意程序冒充受信任用户(浏览器)身份
  • 伪造请求:借助于受信任用户浏览器发起的访问

1、CSRF攻击原理

CSRF攻击攻击原理及过程如下:

1. 用户打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
2. 用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

 

2、CSRF漏洞成因分析

get请求:

<img src="http://www.study.com/admin/resetPassword?id=1" />

<iframe src="http://www.study.com/admin/resetPassword?id=1"style='display:none'></iframe>

post请求:

<!--隐藏表单、自动提交,把功能通过iframe引入新页面-->
<iframe src="form.html" style='display:none'></iframe>

3、CSRF漏洞危害分析

CSRF攻击特点:

  • 攻击时机:网站的cookie在浏览器中没有过期,不关闭浏览器或者退出登录
  • 攻击前提:对目标网站接口有一定了解
  • 攻击难度:攻击难度高于XSS
  • 与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

危害:

 

4、CSRF安全防护

  • 区分是否为伪造请求
  • 二次验证

referer校验:

        HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。

  • 在网关过滤器中校验
  • 在对应的微服务中定义拦截器
  • 具体的业务代码中实现

例外情况:登录

  @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws
            Exception {
        logger.debug("拦截器拦截到对:{}的访问", request.getRequestURI());
        String referer = request.getHeader("referer");
        logger.debug("referer:{}", referer);
        StringBuilder sb = new StringBuilder();
        sb.append(request.getScheme()).append("://").append(request.getServerName());
        logger.debug("basePath:{}", sb.toString());
        if (referer == null || referer == "" || !referer.startsWith(sb.toString())) {
            response.setContentType("text/plain; charset=utf-8");
                    response.getWriter().write("非法访问,请通过页面正常问!");
            return false;
        }
        return true;
    }

业务二次校验:

  • 修改密码,需输入原密码
  • 交易系统设置交易密码
  • 增加图形验证码校验
  • 网银转账短信验证码 

5、CSRFTester

        CSRFTester是一款CSRF漏洞的测试工具,此工具的测试原理如下:它使用代理抓取浏览器中访问过的连接以及表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果被测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,否则不存在。此款工具也可以被用来进行CSRF攻击。

手动访问浏览器后,会在CSRF tester中记录访问路径,从而生成CSRF攻击html 

悠然予夏
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CSRF-站点请求伪造
oscar999的专栏
10-27 706
CSRF, 全写是Cross-Site Request Forgery(请求伪造)。指的是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作
CSRF站点请求伪造
m0_66618018的博客
11-12 281
CSRF学习笔记
站点请求伪造 CSRF攻击
ChenJZ_8的博客
08-30 1056
安全测评测出一下问题: 以下是我的代码解决方案: 1、写好一个类,给它命名为CSRFilter.java package com.xr.modules.sys.utils; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.ser...
【Web安全站点请求伪造CSRF
RexHa的博客
10-14 1107
大多数CSRF攻击发起时,使用的HTML标签都是、、等带src属性的标签,这类标签只能发起一次Get请求而不能发起Post请求,而对于很多网站的应用来说,一些重要操作未严格区分GET和POST,攻击者可以使用GET来请求表单的提交地址。黑客伪造一个假的页面,当用户访问该页面后,黑客就会利用你的身份向第三方站点发送一个恶意请求,从而达到某些目的,例如以你的名义发送邮件、发消息,将你卡里的钱转走,删除某篇博客文章等等。如果用户提交了表单,则应重新生成一个Token。
CSRF(请求伪造)漏洞 (带靶场演示+漏洞挖掘)
wudideaqing的博客
06-14 2397
链接点击。
【burpsuite安全练兵场-客户端12】站点请求伪造CSRF-12个实验(全)
热门推荐
01-15 1万+
【BP靶场portswigger-客户端12-站点请求伪造CSRF】12个实验-万文详细步骤
CSRF 请求伪造
m0_69043895的博客
04-19 1014
CSRF(Cross-site request forgery)请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
站点请求伪造CSRF
onion的博客
09-07 738
是什么?   CSRF攻击指诱使用户访问伪造的页面,然后以该用户身份在第三方站点执行一次操作,CSRF攻击是利用用户身份操作用户账户的一种攻击方式。 怎么办? 验证码:CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求。验证码则强制用户必须与应用进行交互,才能完成最终请求。因此在通常情况下,验证码能够很好地遏制CSRF攻击,但该防御方式用户体验较差; Referer Check防盗链:可...
【開山安全笔记】请求伪造CSRF
開山安全,無限进步
01-17 804
谁“偷”了我的cookie?
PortSwigger 站点请求伪造CSRF
weixin_42451330的博客
12-10 669
本文介绍PortSwigger靶场 站点请求伪造CSRF),包括CSRF介绍及利用手法。如有疑问欢迎私聊。
Tomcat怎样防止请求伪造(CSRF) 1
08-08
Tomcat 防止请求伪造CSRF)机制浅析 在 Web 应用开发中,请求伪造CSRF)是一种常见的安全威胁。请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
CSRF请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
Django中如何防范CSRF站点请求伪造攻击的实现
09-19
主要介绍了Django中如何防范CSRF站点请求伪造攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mod_csrf:防止站点请求伪造的 Apache 模块。-开源
05-30
站点请求伪造(Cross-Site Request Forgery,简称 CSRF 或 XSRF)是一种网络攻击方式,它利用了用户浏览器已经存储的登录凭证,如Cookie,来执行非授权的操作。这种攻击常见于Web应用中,使得攻击者能够在用户不...
pikachu 之CSRF请求伪造)get和post型
LIU6636LIU的博客
07-23 659
pikachu 之CSRF请求伪造)get和post型
【分享】前端程序员-技术网站推荐
一位前行者的博客
07-30 447
对于前端开发人员来说,以下是一些推荐的技术网站,这些网站提供了丰富的资源和知识,可以帮助你提升前端开发技能:收集一些 、、 的网站 vite 官方中文文档 element-plus 官方中文文档 pinia 官方中文文档 vue-router 官方中文文档 Tailwind CSS 官方文档 vitest 官方中文文档 es6 中文文档 axios 官方中文文档 vxetable 官方中文文档 lodash 中文文档 echarts 官方中文文档 animat
js、ts、argular、nodejs学习心得
最新发布
07-30 232
工作中需要前端argular开发桌面程序,后端用nodejs开发服务器,商用软件架构。
苍穹外卖浏览器前端界面修改
程序员象漂亮的博客
07-25 286
客户原始方案是期望做一个Spring Boot + Vue的饿了么系统,但时间上太仓促,所以建议选择开源的苍穹外码目作为作业提交。客户接受了建议的方案后,期望对前端页面提出了一些个性化的定制修改。
java如何解决站点请求伪造_站点请求伪造CSRF
06-09
Java中可以通过以下几种方式来解决站点请求伪造CSRF)问题: 1. 防止重复提交:可以在页面中添加一个唯一的token,每次提交时都要验证token是否合法,如果不合法就拒绝请求。 2. 验证Referer头:可以在服务器端验证请求的Referer头,判断它是否是合法的域名。 3. 验证用户身份:可以在服务器端对用户身份进行验证,如果不是合法用户就拒绝请求。 4. 使用验证码:可以在表单中添加验证码,防止机器人恶意提交表单。 5. 使用HTTPOnly Cookie:可以将Cookie设置为HTTPOnly属性,禁止JavaScript读取该Cookie,从而防止CSRF攻击。 综上所述,Java可以通过多种方式来解决站点请求伪造CSRF)问题,开发人员需要根据实际情况选择合适的方式来保护系统安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

悠然予夏

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值