CSRF漏洞

最新推荐文章于 2024-07-24 10:35:36 发布
最新推荐文章于 2024-07-24 10:35:36 发布
阅读量549 收藏 9
点赞数 10
分类专栏: 漏洞原理 文章标签: csrf 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62688091/article/details/138173319
版权
简介
CSRF Cross-site request forgery 跨站 ( 客户端 ) 请求 伪造 ( 跨站请求欺骗 / 客户端请求欺骗 ) :也被称为“One Click Attack”或者 Session Riding ,通常缩写为 CSRF 或者 XSRF ,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS ),但它与 XSS 非常不同, XSS 利用站点内的信任用户,而 CSRF 则通过 伪装来自受 信任用户的请求来利用受信任的网站
XSS 攻击相比, CSRF 攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS 更具危险性。
csrf 漏洞的成因就是网站的 cookie 在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要是访问这个都网站,会默认你已经登录的状态。而在这个期间,攻击者发送了构造好的csrf 脚本或包含csrf脚本的链接,可能会执行一些用户不想做的功能(比如是添加账号等)
同源策略:
同域名 | IP 同协议 同端口
XSS : 偷 cookie
CSRF: cookie
注意点:
站点 必须是管理员登录状态
站点也必须是和站点 同一个浏览器 里面打开

 

CSRF 可以做什么?
你这可以这么理解 CSRF 攻击:
攻击者盗用了你的身份,以你的名义发送恶意请求。
CSRF 能够做的事情包括:
最低0.47元/天 解锁文章
感思
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
csrf漏洞
m0_55772907的博客
04-27 715
  CSRF(Cross-site Request Forgery,跨站请求伪造),缩写CSRF,也有少数文章称为XSRF,一种利用用户在当前已登录Web应用程序上执行非本意操作的攻击方法(利用受害者尚未失效的身份认证信息(cookie,会话等),创建恶意伪造的web页面请求,在受害者不知情的情况下向服务器发送请求完成非法操作(转账、改密等))。   简言之,攻击者间接利用受害者合法身份,以其身份发送恶意请求。 1.2 漏洞实质   攻击者通过技术手段欺骗用户的浏览器访问
CSRF 漏洞
Just a Blog
03-26 892
CSRF 漏洞
CSRF 漏洞详解
一个努力学习网安的小牛马
11-13 568
CSRF漏洞详解
CSRF漏洞详解
渗透测试研究中心
06-10 941
0x01 CSRF定义   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。尽管听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流...
hucart-含有CSRF漏洞的源码.zip
12-31
在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际的示例,让我们深入探讨一下CSRF漏洞的原理、危害以及防范措施。 1. **CSRF漏洞原理**: CSRF漏洞通常发生在Web应用程序中,这些应用未对请求进行...
CSRF漏洞的靶场实验
09-19
在“CSRF漏洞的靶场实验”中,我们将通过实际操作来理解这种攻击方式以及如何防御。 首先,我们需要了解CSRF攻击的基本原理。当用户访问一个网站并登录后,浏览器会保存一个叫做会话(Session)的状态,使得用户在...
CSRFScanner:Python CSRF漏洞扫描器
05-06
Python CSRF漏洞扫描器 描述 CSRFScanner是一种用于扫描网站以查找CSRF漏洞的工具。 这是一个基本工具,不是很人性化,我最初是出于学术目的而开发的。 可以在PDF CSRFScanner_Explications.pdf(以法语编写)中...
CSRF漏洞防御-01
09-15
"CSRF漏洞防御-01" CSRF漏洞防御是一种非常重要的安全机制,它可以防止恶意攻击者对Web应用程序的攻击CSRF漏洞防御主要包括四种方法:验证码防御、Referer Check防御、Anti CSRF Token防御和Token泄露。 验证码...
CSRF漏洞利用方法-01
09-15
CSRF漏洞利用方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web应用安全漏洞攻击者可以利用CSRF漏洞来欺骗用户浏览器执行恶意操作。本文将介绍四种CSRF漏洞利用方法,分别是链接利用、...
CSRF(Cross-site request forgery)
fencecat的博客
07-20 762
CSRF是一个web安全漏洞,该漏洞通过引诱用户来执行非预期的操作。该漏洞使得攻击者能够绕过同源策略,同源策略是一种用来阻止不同网站相互干扰的一种技术。 CSR跨站请求伪造,攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行点击,用户一旦点击,整个攻击也就完成了。所以CSRF攻击也被称为”one click"攻击
CSRF+XSS组合攻击实战
记录学习
07-19 1349
xss和csrf组合攻击漏洞复现
CSRF防御及模拟CSRF攻击
qq_37550440的博客
07-19 1017
防御csrf攻击方式 CSRF Token则是为了防止跨站请求伪造攻击而设计的。在CSRF攻击中,攻击者试图诱使已登录的用户在不知情的情况下执行恶意操作,例如转账或改变账户设置。CSRF Token是一种额外的安全措施,用来确认发起请求的页面是可信任的源。
pikachu 之CSRF(跨站请求伪造)get和post型
LIU6636LIU的博客
07-23 547
pikachu 之CSRF(跨站请求伪造)get和post型
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
最新发布
lupai的博客
07-24 320
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 955
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 581
一站式云安全托管限时试用 开启全能高效攻防
防火墙--内容安全
banliyaoguai的博客
07-20 1210
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
csrf漏洞dvwa
09-13
在DVWA中,可以找到一些关于CSRF漏洞的练习。要利用CSRF漏洞攻击者需要诱使受害者访问一个包含恶意请求的网页。当受害者登录到DVWA并点击了这个网页时,他们的操作将被误导到执行攻击者指定的操作,而不是预期的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值