CSRF,SSRF和重放攻击的区别

最新推荐文章于 2024-10-10 22:17:52 发布
最新推荐文章于 2024-10-10 22:17:52 发布
阅读量563 收藏 5
点赞数 3
分类专栏: 网络安全 文章标签: 安全 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61074128/article/details/141935525
版权

CSRF是跨站请求伪造攻击,由客户端发起
SSRF是服务器端请求伪造,由服务器发起
重放攻击时将截获的数据包进行重放,达到身份认证等目的

三种是不同的网络安全攻击方式,他们在攻击方式,目标,影响以及防御策略上 都有区别。

CSRF(跨站请求伪造):
CSRF,全称Cross-Site Request Forgery,也被称为One Click Attack或者Session Riding,是一种对网站的恶意利用方式。攻击者通过伪造用户的请求,利用用户对网站的信任,诱导用户在其不知情的情况下执行某些操作,如转账、提交表单等。
特点:

  1. 攻击者利用用户的Cookie信息伪造请求。
  2. 攻击通常来自第三方网站,通过诱导用户点击链接或表单提交等方式进行。
  3. 攻击目标时用户的账户在受信任网站上的操作。

防御策略:

  1. 在HTTP请求中加入随机生成的Token,并在服务器验证Token的有效性。
  2. 检查请求的来源(Referer字段),确保请求来自受信任的源。
  3. 使用HTTPS协议,保护Cookie不被窃取。

SSRF(服务端请求伪造):
SSRF,全称Server-Side Request Forgery,是一种由攻击者构造请求,使服务器端发起请求的安全漏洞。攻击者可以利用服务器端对外部资源的请求功能,将服务器作为跳板来攻击内网或其他服务器。
特点:
攻击者通过控制服务器端的请求参数来构造恶意请求
攻击目标时服务器能够访问的外部资源,包括内网资源
漏洞通常出现在如file_get_contents()等可以发起网络请求的函数上
防御策略:
限制请求地址,设置白名单或黑名单
禁用特定协议和端口,减少潜在的攻击面
对请求地址进行严格的过滤和验证

重放攻击:
重放攻击(Replay Attacks),又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,以达到欺骗系统的目的。主要用于身份认证过程,破坏认证的正确性。
特点:攻击者利用网络监听或其他方式获取认证数据包。
攻击者将截获的数据包重新发送给目标系统,以欺骗系统认为是一次新的有效请求。
攻击可以针对任何依赖时间戳、序列号等机制进行认证的系统。
防御策略:
使用时间戳和随机数等机制来确保请求的时效性。
在服务器端验证请求的时效性,拒绝过期的请求。
使用加密和数字签名等技术来保护数据的完整性和真实性。

吃土少女古拉拉
关注
专栏目录
Web安全 【基础】 请求防篡改和唯一请求(重放攻击)
言小溪 的博客
10-11 5160
这里给大家直接上工具 js methods: //传入json对象,和key(任意字符串,越长越好),获取md5加密 getMd5(params,key){ let str = JSON.stringify(this.sort_ASCII(params)) return this.$md5(encodeURIComponent(str+key)) } //对json 对象进行 ascii码 排序 sort_ASCII(obj) { var arr = new Array(); var num
CSRF,SSRF,重攻击的区别
小宇的web博客
03-07 2010
CSRF,SSRF,重攻击的区别 1.CSRF(跨站请求伪造)是服务器端没有对用户提交的数据进行随机值校验,且对http请求包内的refer字段校验不严,导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器。 SSRF(服务端请求伪造)是服务器对用户提供的可控URL过于信任,没有对攻击者提供的RUL进行地址限制和足够的检测,导致攻击者可以以此为跳板攻击内网或其他服务器。 重放攻击是将截获的数据包进行重放,达到身份认证等目的,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主
CSRFSSRF 和重放攻击区别
最新发布
m0_57836225的博客
10-10 252
在网络安全领域,CSRF(跨站请求伪造)、SSRF(服务器端请求伪造)和重放攻击是常见的安全问题。下面我们来详细了解它们之间的区别
13-CSRFSSRF和重放攻击区别
m0_62207482的博客
03-15 207
CSRF是跨站请求伪造攻击,由客户端发起 SSRF是服务器端请求伪造,由服务器发起 重放攻击是将截获的数据包进行重放,达到身份认证等目的
csrfssrf的区别,攻击如何防护
白帽子凯哥聊黑客
12-14 2644
CSRF(跨站请求伪造)和SSRF(服务器端请求伪造)都是网络安全中的常见攻击类型,但它们的目标和攻击方式有所不同。理解这两种攻击的区别对于有效地防御它们至关重要。CSRFSSRF的主要区别在于攻击的发起者和目标。CSRF利用了用户的浏览器来攻击用户已经认证的Web应用,而SSRF直接利用了服务器端应用来发起对其他系统的请求。两者都需要通过严格的输入验证和适当的安全措施来防御。 目标:CSRF攻击目标是利用网站用户的浏览器,迫使用户在已认证的Web应用中执行非预期的操作。工作原理:攻击示例:防御措施:目标
面试官:啥是请求重放呀?
qq_27243343的博客
05-18 1963
这是why的第 103 篇原创 你好呀,我是why。 如图,重放攻击,这题我真的在面试的时候遇到过,两次。 印象比较深的是第一次遇到这个面试题的时候,也是第一次听到“重放攻击”这个词的时候,一脸蒙蔽,于是我就连蒙带猜的,朝着接口幂等性的方向去答了。 结果就凉了。 要回答怎么防止重放攻击,那么我们得知道啥是重放攻击。 学术上的解释是这样的: 重放攻击(英语:replay attack,或称为回放攻击)是一种恶意或欺诈的重复或延迟有效数据的网络攻击形式。 这可以由发起者或由拦截数据并重新传输数据的对手来执行
OWASP学习CSRFSSRF攻击
s11show_163的博客
02-14 561
xss和csrf区别: 一个用户有一个支付功能,如果是csrf漏洞可以编写esp发送给用户,用户点击之后会返回给我们黑客是xss如果不需要返回直接执行了转账请求就是csrfcsrf是跨站请求伪造,我们攻击者只要提供一个伪造的页面就可以。 用户有自己的cookie,如果是在登录状态下则点击某连接就直接进行转账,不像上节课讲的获取cookie然后黑客复现cookie进行转账。 进入留言板管理员界...
安全防范 XSS 、CSRFSSRF
Yweivvv的博客
04-01 1068
XSS 简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中。 XSS 可以分为多种类型,但是总体上我认为分为两类:持久型和非持久型。 持久型也就是攻击的代码被服务端写入进数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会导致大量正常访问页面的用户都受到攻击 CSRF 中文名为跨站请求伪造。原理就是攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发起请求。如果用...
SSRF漏洞浅析+ctfhub简单实战
热门推荐
wo41ge的博客
03-27 1万+
花时间 写一下SSRF 凑合看吧 2020/3/24 14.26 漏洞原理 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成并由服务端发起恶意请求的一个安全漏洞。 正是因为恶意请求由服务端发起,而服务端能够请求到与自身相连而与外网隔绝的内部网络系统,所以一般情况下,SSRF的攻击目标是攻击者无法直接访问的内网系统。 ssrf csrf 重放攻击 换行注入 漏洞成因 SSRF漏洞的形成大多是由于服务端提供了从其他服务器应用获取数据的功能而没有对目标地
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(4-4)SSRF相关面试题
qq_51577576的博客
11-29 1599
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(4-4)SSRF相关面试题 渗透方向的岗位,涉及到的知识点是很广泛的。 这里我总结了整个一系列的面试题,可能没有覆盖到全部的知识面,但是应该是比较全面的,本文主讲解web漏洞SSRF方向的面试题。 如果整个系列的问题搞懂了大部分,那找个网安方向的工作基本上没什么问题了。 当然了,可能也不是说这些问题都会被问到,但这些题目都是和网安岗位相契合的。
红队系列-SRC常用漏洞挖掘技巧
aming小老弟
12-08 1513
安全弱点sql 注入命令 注入深入利用xpath注入 (老式 ) 广泛了解乌云镜像薅羊毛。
XSS、SSRF、CSRF、XXE 漏洞的区别
gududeajun的博客
12-11 7476
XSS(跨站脚本攻击) XSS属于客户端攻击,受害者最终是用户。但特别要注意的是网站管理员也属于用户之一,这就意味着XSS可以进行“服务端”攻击,因为管理员要比普通用户的权限大得多,一般管理员都可以对网站进行文件管理,数据管理等操作,而攻击者一般也是靠管理员身份作为“跳板”进行实施攻击。 XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码,最常用的攻击代码是javascript语言,但也会使用其它的脚本语言,例如:ActionScript、VBscript。而如今的互联网客户端脚本基本是基于Javasc
什么是重放攻击(Reply attack)?
常备不懈
04-24 5334
重放攻击,也称为回放攻击,是一种网络攻击方式。重放攻击是一种中间人攻击,攻击者通过截获合法的数据传输并重新发送它们来欺骗接收方,让接收方误以为是合法的消息。重放攻击是非常常见的,因为在拦截了来自网络的传输后,黑客不需要专门的专业知识来解密信息。 重放攻击不仅限于信用卡交易,还可以采取多种形式,诈骗者可以通过有效的重放攻击来模仿真实用户并完成任何欺诈行为。
网络安全-重放攻击(Replay Attack)
问白的博客
04-04 3848
API重放攻击(Replay Attacks)又称重播攻击、回放攻击,这种攻击会不断恶意或欺诈性地重复一个有效的API请求。攻击者利用网络监听或者其他方式盗取API请求,进行一定的处理后,再把它重新发给认证服务器,是黑客常用的攻击方式之一。
渗透测试-一文读懂XSS、CSRFSSRF、XXE漏洞原理、应用、防御
lza20001103的博客
08-25 2902
一文读懂XSS、CSRFSSRF、XXE漏洞原理、应用、防御 文章目录一文读懂XSS、CSRFSSRF、XXE漏洞原理、应用、防御一、相同点与不同点相同点不同点XXE漏洞二、防御1、XSS2、CSRF3、SSRF4、XXE三、面试题 一、相同点与不同点 相同点 XSS,CSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点 XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的
CSRF的理解以及跟SSRF的区别
一杯咖啡的渗透记忆
04-26 9054
CSRF理解: CSRF概念: CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其中We...
SSRF与CSRF
qq_48829044的博客
06-19 1765
ssrf的基础知识
重放攻击(Replay Attacks)
weixin_33907511的博客
12-01 1255
重放攻击(Replay Attacks)1.什么是重放攻击顾名思义,重复的会话请求就是重放攻击。可能是因为用户重复发起请求,也可能是因为请求被攻击者获取,然后重新发给服务器。2.重放攻击的危害请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。我们可以通过加密,签名的方式防止信息泄露,会话被劫持修改。但这种方式防止不了重放攻击。3.重放攻击的防御1)时间戳验证请求时加上客户端当前时间...
csrf重放攻击区别
05-31
CSRF(Cross-Site Request Forgery)和重放攻击(Replay Attack)都是Web安全领域中的攻击方式,它们的区别如下: 1. 攻击方式不同:CSRF是攻击者通过伪造用户请求,让用户在不知情的情况下执行某些操作;而重放攻击则是攻击者通过拦截和重复发送用户的请求,来达到欺骗服务器的目的。 2. 攻击目标不同:CSRF攻击主要针对的是用户的会话信息,即攻击者通过伪造用户请求来窃取用户的信息或执行一些恶意操作;而重放攻击则主要针对的是服务器端的数据,即攻击者通过重复发送用户请求来欺骗服务器。 3. 防御方式不同:对于CSRF攻击,常见的防御方式包括使用Token验证、Referer验证等;而对于重放攻击,常见的防御方式包括使用随机数、时间戳等方式来防止重复请求。 总的来说,CSRF攻击主要是通过欺骗用户来达到攻击目的,而重放攻击则是通过欺骗服务器来达到攻击目的。虽然它们的攻击方式和目标不同,但都会对Web应用程序的安全性带来威胁,需要采取相应的防御措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值