安全技能-CSRF漏洞

最新推荐文章于 2023-02-25 14:43:21 发布
最新推荐文章于 2023-02-25 14:43:21 发布
阅读量246 收藏
点赞数
分类专栏: 网络安全技能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wislove/article/details/102550950
版权

介绍CSRF

CSRF(跨站请求伪造),也被称为One Click Attack 或者 Session
Riding,通常缩写为CSRF或XSRF,是一种对网站的而恶意利用

CSRF通过通过伪装成受信任用户请求受信任网站,与XSS相比,CSRF攻击往往不太流行,但难以防范,所以被认为比XSS更具攻击性

原理

攻击者利用目标用户身份,以目标用户的名义执行某种非法操作,CSRF能做的事情包括:以目标用户名义发送邮件,发消息,盗取目标用户账号,甚至购买商品,转账等,这会泄露个人隐私并威胁目标财产安全

简单的说,就是当目标网站存在CSRF漏洞时,可以通过BurpSuite Pro 生成CSRF
PoC,然后将生成的代码放入服务器中,诱导目标访问,如果目标在同一浏览器访问过次网站并处于登陆状态,就会被利用

修复建议

  1. 验证请求的Referer值,如果Referer是以自己的网站开头的域名,说明该请求来自自己网站,是合法的,如果Referer是其他域名或空白,则可能是CSRF攻击,服务器应该拒绝请求

  2. 可以再HTTP请求中以参数的形式加入一个随机产生的token,并在服务器验证,如果请求中没有token或不正确,则认为该请求可能是CSRF攻击

USG_f4d
关注
专栏目录
CSRF漏洞
qq_39416206的博客
03-14 818
知识点: CSRF原理: CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行。 这就利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 其实可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事
Web系统常见安全漏洞介绍及解决方案-CSRF攻击
web15286201346的博客
07-31 309
CSRF跨站请求伪造,全称Cross-siterequestforgery,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF是Web安全中最容易被忽略的一种攻击方式,但某些时候却能产生强大的破坏性。...
什么是CSRF攻击?
weixin_40851188的博客
05-01 1654
什么是 CSRF 攻击? CSRF 概念:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利 用。 尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户的...
CSRF漏洞的攻击与防御
看不尽的尘埃——博客
11-19 982
什么是CSRFCSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。它在 2007 年曾被列为互联网 20 大安全隐患之一。CSRF 攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限...
浅谈CSRF漏洞
kkfd1002的博客
04-21 360
正文:CSRF与xss和像,但是两个是完全不一样的东西。xss攻击(跨站脚本攻击)储存型的XSS由攻击者和受害者一同完成。xss详细介绍:点我跳转 CSRF(跨站脚本伪造)完全由受害者完成。攻击者不参与其中。CSRF详细介绍:点我跳转 CSRF原理: 银行转账的数据包:http://jianse.com/zhuanzhang.php?name=lu&email=xxx@qq.com&amp...
腾讯2016实习招聘-安全岗笔试题答案详细解释
热门推荐
煜铭2011
06-11 8万+
0x00前言 鉴于曾经做过腾讯找招聘-安全技术笔试题目,故留此一记,以作怀念。此外,网上也有公布的相关的答案,但是其中有些题目稍有错误或者解释不全,所以趁机写上一记。 0x01 开始 2016年4月2日晚上7:00到9:00,腾讯2016实习招聘-安全技术的笔试题确实考到很多基础知识。该笔试题有两部分。第一部分是30道不定项选择题、10道简答题和5道判断题,题量是45,限时80分钟。第二部分
Web安全系列:CSRF安全从入门到精通
weixin_68076304的博客
02-25 584
Cross-Site Request Forgery (CSRF) 是一种网络安全攻击,攻击者通过诱骗用户点击恶意链接或访问恶意网站,伪造用户请求,实现对用户账号的非法操作。具体来说这种网络攻击可以盗取用户身份、修改用户数据、执行恶意操作等攻击,如发送恶意邮件、购买商品、提现等操作,从而造成用户的损失。尽管随着Web应用程序的安全意识和防御技术的提升,CSRF攻击的形式和手段在不断变化和演进,但是它仍然是一个常见的安全威胁。
83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1
08-03
【网络安全自学篇】八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结 本文主要介绍了网络安全领域中常见的几种...网络安全不仅需要理论知识,还需要实践操作来提升技能,这样才能更好地维护网络环境的安全
网络安全 - Web 安全靶场 - DVWA-2.3.zip
最新发布
10-09
DVWA包含了如Brute Force(暴力破解)、Command Injection(命令注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)等多种安全漏洞模块。这些模块不仅提供了实践的机会,还附带了详细的漏洞描述和成因分析,...
网络安全--理论及案例
01-20
《网络安全--理论及案例》是本科网络安全教学的重要素材,旨在满足应用型人才培养的需求。本章主要探讨了网络安全的各个方面,包括网络安全...这不仅对于理论知识的积累,而且对于实际操作技能的培养,都具有重要意义。
作为一个测试人需要知道的安全测试
qq_44411339的博客
07-06 1483
在所有类型的软件测试中,安全测试可以被认为是最重要的测试之一,其主要目的是在任何软件(Web或基于网络)的应用程序中找到漏洞,并保护其数据免受可额能的攻击或入侵,忧郁许多应用程序包含机密数据,需要被保护,因此需要定期在这样的应用层下上开展健全测试。流动可以被定义为任何系统的弱点(Vulnerability),入侵者或破坏者可以通过该漏洞对系统进行攻击。如果系统没有严格执行安全性测试,那么出现漏洞的机会增加。可以通过打补丁或修复程序来防止系统出现漏洞。WebShell就是以asp、php、jsp或者cgi等网
渗透测试知识点--选择题
m0_52996993的博客
01-07 2万+
RDP的端口号为() A. 3389 B. 23 C. 22 D. 443 Burp Suite 是用于攻击()的集成平台。 A. web 应用程序 B. 客户机 C. 服务器 D. 浏览器 使用nmap进行ping扫描时使用的参数() A. -sP B. -p C. -p0 ...
腾讯 2016 春招笔试(伪)权威解析
不急不躁
06-04 1万+
这篇文章的原文在:原文地址 1、应用程序开发过程中,下面哪些开发习惯可能导致安全漏洞? 在程序代码中打印日志输出敏感信息方便测试(√) 在使用数组前判断是否越界 在生成随机数前使用当前时间设置随机数种子(√) 设置配置文件权限为rw-rw-rw-(√) 只说一下第三个吧,给出篇文章随机数是骗人的 这篇文章中提到的另一篇文章我也给出链接,省去大家查找的时间当随机不够随机:一个在线扑克游戏...
csrf漏洞防御方案_Web常见攻击手段CSRF攻击
weixin_39596090的博客
12-21 779
什么是CSRF攻击?跨站请求伪造(Cross-Site Request Forgery, CSRF),恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求,由于同一浏览器进程下 Cookie 可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。尽管听起来跟XSS跨站脚本攻击有点相似,但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通...
(转)腾讯2016实习招聘-安全岗笔试题答案详细解释
delpiero107108的博客
03-07 3329
0x00前言鉴于曾经做过腾讯找招聘-安全技术笔试题目,故留此一记,以作怀念。此外,网上也有公布的相关的答案,但是其中有些题目稍有错误或者解释不全,所以趁机写上一记。0x01 开始2016年4月2日晚上7:00到9:00,腾讯2016实习招聘-安全技术的笔试题确实考到很多基础知识。该笔试题有两部分。第一部分是30道不定项选择题、10道简答题和5道判断题,题量是45,限时80分钟。第二部分是...
CSRF漏洞利用介绍
星落的博客
06-02 1万+
CSRF漏洞介绍 CSRF:跨站请求伪造,也称为One Click Attack 缩写为CSRF CSRF漏洞代码分析 <?php //会话验证 $user =$_GET["user"]; $money=$_GET["monkey"]; //转账操作 ?> http://1270.0.1/pay.php?user=heike&monkey=10000 我们把这个链接发给受害人,受害人点击后,就会把受害人的钱发给我们。 CSRF自动化探测 ...
web安全入门课程推荐--Web 安全恩仇录:漏洞原理
玄魂工作室
08-17 1225
玄魂 玄魂工作室&nbsp; gitchat上看到的一套入门教程。 课程介绍 本课程主要内容为 Web 常见漏洞分析,同时会介绍在各个阶段需要做什么事,该课程利用的攻防平台是 Kali Linux 以及一些 Linux 和 Windows 靶机,按照主次会依次介绍 OWASP 10 的漏洞类型。通过学习本课内容,能够掌握常见的漏洞类型,比如 SQL 注入、XSS 等漏洞的原理并且能够在实...
风炫安全WEB安全学习第十九节课 XSS的漏洞基础知识和原理讲解
风炫的博客
12-24 139
风炫安全WEB安全学习第十九节课 XSS的漏洞基础知识和原理讲解 跨站脚本攻击(Cross-site scripting,通常简称为XSS) 反射型XSS原理与演示 交互的数据不会存储在数据库里,一次性的。一般是查询导致或者是错误的js执行 存储型XSS原理与演示 交互的数据会被存放在数据库里,永久性存储,一般出现在留言板,注册等页面 Dom型XSS原理与演示 漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞。不与后台服务器产生数据交互,是一种通过DOM操作
如何挖掘CSRF漏洞CSRF漏洞修补建议
jlangqi的博客
08-22 7772
序: 拿人家的手短,吃人家的嘴软。我又吃了坏蛋的饭,又拿了春秋的礼物,在坏蛋的胁迫下,在高铁上挥泪写下了这篇文章。因为高铁上没网,你们看到这篇文章的时候,估计我已经回去了。现在是北京时间2016年08月17日20:58:14    坏蛋辞职了,坏蛋辞职了,王八蛋坏蛋,坏蛋,你不是人,吃喝嫖赌欠下3.5个亿,带着200亿魔法币跟小姨子跑了,我们没有办法,拿着文章换魔法币,原价100魔法币,200
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

USG_f4d

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值