CSRF相关知识

已于 2024-01-23 10:39:31 修改
阅读量291 收藏 6
点赞数 8
分类专栏: # 其他常见漏洞类型 文章标签: csrf 前端 安全
于 2024-01-20 10:41:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62715196/article/details/135711992
版权

文章目录

CSRF攻击

简介

在这里插入图片描述
CSRF(Crose-Site Request Forgery:跨站请求伪造),攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。
攻击者挟持用户账号执行非用户本意的操作。
在 CSRF 的攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行点击,当受害者点击并且浏览器运行该段脚本时,就会伪造受害者的身份发送一个合法请求。所以 CSRF 攻击也被称为"one-click"攻击。

与 XSS 区别

XSS 是利用客户端对服务端的信任,CSRF 是利用服务端对客户端的信任。
XSS 主要是让脚本在用户浏览器上执行,服务器仅仅只是脚本的载体,本身服务器不会受到攻击利用。CSRF 主要是攻击者会伪造一个用户发送给服务器的正常链接,其核心主要是需要已登录(已认证)的用户去发送请求。
XSS 是将恶意代码植入被攻击服务器,利用用户对服务器的信任完成攻击。而 CSRF 是攻击者预先在自己攻击服务器的页面植入恶意代码,诱使受害者访问,在受害者不知情的情况下执行了恶意代码。攻击服务器是独立的域名或 IP 地址。
比 XSS 更难检测和更隐蔽,攻击面主要集中在用户端,防御主要在服务端。

举例

在这里插入图片描述

攻击要点

服务器没有对操作来源进行判断,如 IP、Referer 等。
受害者处于登录状态,但是攻击者无法拿到 Cookie。
攻击者需要找到一条可以修改或获取敏感信息的请求。

防护方法

检查 Referer,对不合法的 Referer 拒绝请求。
使用随机 Token 验证。
改密码时多做一重验证。
加验证码,强制用户必须与应用进行交互才能完成最终请求。
使用 WAF 对 CSRF 进行拦截。

摆烂鱼
关注
  • 8
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF知识点·总结.pdf
02-07
该文档是在看网络学习视频总结,从CSRF介绍、防御、分章节进行叙述,其中包括http请求的知识、cookie的防御 ,可作为学习文档。
django 取消csrf限制的实例
01-20
# 导入包 from django.views.decorators.csrf import csrf_exempt ...补充知识:Django 前后端分离跨域AJAX获取csrftoken及获取cookie时遇到的问题 获取CSRFTOKEN Django的中间件’django.middleware.c
CSRF-知识点详细讲解
qq_54037445的博客
12-02 383
利用受害者没有失效的身份认证信息,诱骗受害者点击恶意链接,访问包含攻击代码的页面,在受害者不知情的情况下,以受害者的身份向服务器发送请求,服务器认为是受害者本人发出的请求,从而予以响应,完成非法操作。
CSRF知识
Richard_qi的博客
04-11 912
CSRF知识总结 一.CSRF基础知识 csrf漏洞简介 CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站, 在第三方网站中,向被攻击网站发送跨站请求。 利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的 csrf与xss区别 XSS:跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。 它允许恶意用户将代码注入到网页上,其
CSRF、SSRF知识梳理
m0_63917373的博客
10-31 373
CSRF定义 SSRF定义 CSRF、SSRF
CSRF知识总结
hackzkaq的博客
09-15 767
更多渗透技能 ,公众号:渗透师老A 一.CSRF基础知识 CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站, 在第三方网站中,向被攻击网站发送跨站请求。 利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的 csrf与xss区别 XSS:跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。 它允许恶意用户将代码注入到网页上
csrf的一些知识见解
haozhe6666的博客
09-13 53
CSRF(跨站请求伪造)CSRF是攻击者通过伪造用户浏览器的请求,欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品、修改密码)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。一句话理解:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。
CSRF漏洞基础知识
叶子的Blog
11-06 145
CSRF漏洞 CSRF漏洞简介 CSRF(跨站请求伪造),是指利用受害者尚未失效的身份认证信息( cookie、会话 等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下 以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作 (如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用 CSRF漏洞分类 GET型 GET型CSRF漏洞,只需要构造URL,然后诱导受害者访问利用。 POST型 POST型CSRF漏洞,需
csrf知识
qq_46804551的博客
03-28 147
CSRF概念: CSRF跨站请求伪造,黑客诱导用户点击带有伪造请求(修改密码,转账,删除文章等高风险操作请求)链接后,利用未失效的用户认证信息,产生服务器验证请求通过,导致用户在不知名的情况下进行了转账等操作。 与xss相比:xss是通过修改页面Javascript等代码后,发给用户从而实现盗取cookie信息,之后利用cookie进行登陆网站等操作。非法操作是黑客。 CSRF并没有盗取cookie信息,而是通过用户直接利用cookie进行操作。非法操作并不是黑客,而是用户本身。 本质上讲,csrf漏洞就是
CSRF知识点总结
千寻的博客
02-08 863
文章目录第一章 概述 实战:与XSS 的结合添加后台账号 攻击者可以通过XSS 来触发CSRF 攻击。因为,可以利用JS 来发送请求。 通过研究受害网站的业务流程,攻击者可以构造如下代码。 第一章 概述 概述 跨站请求伪造(Cross-site request forgery,CSRF)是一种攻击,它强制终端用户在当前对其进行身份验证后的Web应用程序上执行非本意的操作。 CS...
CSRF漏洞的相关知识
qq_43238111的博客
06-06 351
CSRF漏洞 1.概念 CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式 2.攻击原理 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的, 但是却完成了攻击者所期望的一个操作。 3.流程图 Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 1 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2 在用户信息通过验证后,网站A产生Cooki
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 ...也就是说,打开一个服务器上...
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
跨站请求伪造CSRF简介 第7章 Web应用安全 目标 Objectives 要求 了解跨站请求伪造CSRF的基本概念; 了解跨站请求伪造CSRF的攻击原理; 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 跨站请求伪造(Cross-site ...
Web应用安全CSRF防范对策.pptx
06-19
CSRF防范对策 1、什么是CSRF 我们再来重温下CSRF的定义:CSRF英文全称是:Cross Site Request Forgery,中文是:跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对...
CSRF 攻击实验:无防御措施的 CSRF 漏洞
Flag少侠的博客
05-14 1462
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
WEB转Flutter基础学习笔记(内含vue和flutter对比)
最新发布
小易不止于搬砖的博客
05-17 669
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
vue3.0+antdv的admin管理系统vue-admin-beautiful推荐
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
05-15 1108
几年前,笔者自学了vue这一优秀的前端框架,但苦于没项目练手,无意间发现了这一优秀的前端集成框架。当时就使用它做了一很有意思的小项目---终端监控云平台,实现了前端和后台的整体功能。整体方案介绍参见博文《》,前端使用vue-admin-beautiful框架,后端使用go-zero微服务框架,几天内就搞出来了一个包含前端和后台的小项目。我的monitor-ui前端运行界面:后续有机会介绍下我这个终端监控云平台小项目的具体实现,挺有意思的。几年前还用到过几个地方的公交客户现场,客户挺喜欢这个功能的。
Unable to start ServletWebServerApplicationContext due to missing ServletWeb
s_sos0的博客
05-14 506
Unable to start ServletWebServerApplicationContext due to missing ServletWeb
渗透测试,CSRF基础知识
07-23
以下是关于 CSRF 的基础知识: 1. CSRF 的原理:CSRF 攻击利用了网站对用户身份验证的信任,攻击者通过欺骗用户在目标网站上执行一个恶意请求,从而实现对用户账户的操作。 2. CSRF 的过程:攻击者构造一个包含...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值