CSRF攻击与防御

已于 2022-04-14 16:44:41 修改
阅读量129 收藏
点赞数
文章标签: csrf
于 2022-04-14 16:27:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63898786/article/details/124175271
版权

CSRF(跨站点请求伪造)

攻去过程在我的理解里一般分为四步:

①用户向网站发起http请求

②网站回应用户产生cookie

③黑客 制作攻击性的代码诱使用户去点击

④用户点击成功后黑客拿到用户cookie值,从而利用用户的身份去访问网站

CSRF漏洞的检测

①抓取一个正常请求的数据,去掉referer字段之后再重新提交,如果还是效果那么就存在CSRF漏洞。

②利用CSRFTester工具进行检测

防御CSRF

1. 验证HTTP Refere字段

2. 在请求地址中添加 token并验证

3. 在HTTP头中自定义属性并验证

这些是我自的关于CSRF的看法,还在学习中,可能有些地方不太准确

 

一身白的小白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
什么是csrf攻击如何避免,CSRF攻击防御
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
05-05 2892
CSRF攻击攻击原理及过程如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
CSRF攻击防御
02-26
这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
CSRF漏洞
MingShenfree的博客
10-28 695
CSRF漏洞原理 CSRF漏洞产生的原因是网站对用户的身份没有进行严格的认证,导致用户的身份令牌被盗用,从而造成用户信息泄露或用户信息被修改等 简单来说就是你家门上的电子密码被别人知道了,别人就可以进你家乱搞喽。可长点心吧孩子们。 用户身份认证 cookie: Cookie是一个非常具体的东西,是浏览器里面能永久存储的一种数据,cookie由服务器生成,发送给浏览器,浏览器把cookie以key-value的形...
Python中csrf攻击防御
開開吣吣的博客
10-14 546
CSRF概念 CSRF跨站点请求伪造(Cross—Site Request Forgery)。 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF攻击原理以及过程 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登...
5分钟科普CSRF攻击防御,Web安全的第一防线
02-25
目录:一、CSRF介绍二、CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常...
CSRF攻击防御,Web安全的第一防线
01-27
CSRF(跨站请求伪造)攻击...总之,CSRF攻击是一种严重的安全威胁,开发者应当采取多种防御措施,如Token验证、Referer检查等,确保Web应用程序的安全性。同时,定期进行安全审计和漏洞扫描是预防CSRF攻击的关键步骤。
Forbidden (CSRF cookie not set.)
weixin_53704902的博客
07-09 249
Forbidden (CSRF cookie not set.)
红色龙年2024新年工作计划PPT模板
07-13
【作品名称】:红色龙年2024新年工作计划PPT模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
项目管理策划编写模板.docx
07-13
项目管理策划编写模板.docx
架子管及扣件现场管理规定.docx
07-13
架子管及扣件现场管理规定.docx
Swift语言教程&案例.docx
07-13
Swift 是由 Apple 开发的一种现代、安全、快速的编程语言,适用于 iOS、macOS、watchOS 和 tvOS 应用程序开发。以下是一个详细的 Swift 语言教程,适合初学者逐步学习。
ctf_tools_list.md
07-13
ctf_tools_list
巴比达内网穿透.txt
07-13
巴比达内网穿透
URL编码.exe
07-13
URL编码
scipy-1.10.0rc1-cp39-cp39-manylinux-2-17-x86-64.manylinux2014-x8
最新发布
07-13
scipy-1.10.0rc1-cp39-cp39-manylinux_2_17_x86_64.manylinux2014_x86_64.whl
红色灰色商务年终总结汇报ppt模板
07-13
【作品名称】:红色灰色商务年终总结汇报ppt模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
项目创优计划.docx
07-13
项目创优计划.docx
Linux命令行终端图形界面编程库curses介绍
07-13
curses是一个在Linux/Unix下广泛应用的图形函数库,作用是可以在终端内绘制简单的图形用户界面。 Linux/Unix编程给人的感觉就比较“cool”一点,好像Linux编程都是在黑黑的终端下进行的。确实是这样,许多Linux高手都喜欢在终端方式下工作,熟悉了一些命令以后,这样的工作方式效率还是很高的。但是长久地看着黑黑的屏幕难免让人感到厌倦,有没有一种工具能让我们在Linux下编出好看的图形呢?答案是肯定的,它就是curses!
CSRF课程.pdf
01-25
通过学习这门课程,学生将能够更好地理解CSRF的特点和原理,学会如何利用CSRF攻击,以及如何预防和防御CSRF漏洞。 在课程中,学生将学习到CSRF的概念和介绍,了解其攻击原理和危害。同时,课程还将深入讲解CSRF的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值