渗透测试技术----常见web漏洞--跨站请求伪造攻击原理及防御

最新推荐文章于 2024-04-04 14:27:45 发布
最新推荐文章于 2024-04-04 14:27:45 发布
阅读量1.4k 收藏 7
点赞数 2
分类专栏: 渗透测试技术 web漏洞介绍 文章标签: CSRF 跨站请求伪造 CSRF原理 CSRF防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwl012345/article/details/99691600
版权

一、跨站请求伪造攻击介绍

1.跨站请求伪造攻击简介
跨站请求伪造(Cross-site request forgery)简称为CSRF,这是一种对网站的恶意利用。CSRF实际上就是攻击者通过各种方法伪装成目标用户的身份,欺骗服务器,进行一些非法操作,但是这在服务器看来却是合法的操作。

2.CSRF与XSS的区别
尽管CSRF听起来很像XSS,但是却又与XSS有本质的区别。最本质的区别就是XSS利用的是用户信任服务器,CSRF利用的是服务器信任用户。 XSS是由于用户信任服务器,因此攻击者可以将恶意的JS代码上传到服务器,用户由于信任服务器就会去访问服务器,这样,用户就容易收到XSS攻击;CSRF是由于服务器信任用户,因此攻击者会伪装成用户的身份去进行一些非法操作,但是服务器会认为这是合法的操作,这样用户就受到了CSRF攻击。

二、跨站请求伪造原理

1.跨站请求伪造原理解释
其实CSRF就是攻击者利用目标用户的身份,以目标用户的名义去执行某些非法操作。CSRF能做的事情包括:以目标用户的名义发邮件、发消息、盗取目标用户的的账号,甚至购买商品、虚拟货币转账,这些会泄露个人隐私并涉及目标用户的财产安全。

2.进行CSRF攻击的前提条件

  • 目标用户已经登录了网站,并且能够执行网站的功能
  • 目标用户访问了攻击者构造的URL
  • 服务器端不会有二次认证
  • 被害者是不知情的

3.CSRF原理(引用大佬的一幅图)
(1):用户浏览并登录正常网站A
(2):用户通过认证,服务器向用户发送一个cookie值
(3):用户在没有登出A网站的情况下,访问攻击者所伪造的危险网站B(cookie值存在的时候访问网站B)
(4):网站B要求访问第三方站点网站A,发出一个请求
(5):由于此时用户仍登录着网站A(也就是说浏览器中还存放着网站A给用户的cookie),因此浏览器会携带着之前网站A发送给自己的cookie值去访问网站A
(6):由于浏览器携带者用户正确的cookie值访问网站A,网站A会通过用户的访问请求,此时服务器仍旧认为是用户在访问网站A,实际上是攻击者B伪造用户A的身份在访问网站A,因此攻击者就可以执行用户所可以执行的相关操作了
在这里插入图片描述

三、XSS和CSRF结合使用

1.XSS和CSRF结合使用的原因
单纯的一个XSS的攻击效果是很小的,以至于很多厂商对于单独的XSS漏洞都是不认领的,单纯的一个CSRF的攻击要求又相对比较高,需要用户去点击攻击者构造的URL,因此CSRF的攻击也是相对来说比较难成功。但是,如果将XSS和CSRF结合使用,那么攻击效果就会呈几何倍的上升。

2.XSS结合CSRF攻击方法
存储型XSS和CSRF结合使用(原理与上图相差不大)
以下加粗的内容与CSRF有差异
(1):首先,攻击者向网站A(存储型服务器)上传一个具有重定向到网站B功能的JS脚本
(2):用户用户浏览并登录正常网站A
(3):用户通过认证,服务器向用户发送一个cookie值
(4):与此同时触发了存储型XSS,用户跳转到攻击者所伪造的危险网站B
(5):网站B要求访问第三方站点网站A,发出一个请求
(6):由于此时用户仍登录着网站A(也就是说浏览器中还存放着网站A给用户的cookie),因此浏览器会携带着之前网站A发送给自己的cookie值去访问网站A
(7):由于浏览器携带者用户正确的cookie值访问网站A,网站A会通过用户的访问请求,此时服务器仍旧认为是用户在访问网站A,实际上是攻击者B伪造用户A的身份在访问网站A,因此攻击者就可以执行用户所可以执行的相关操作了

XSS结合CSRF与单独的CSRF最大的区别就是当用户从网站A到网站B的时候方式有所不同,XSS结合CSRF是利用XSS主动重定向到网站B,而单独的CSRF只能是通过用户有意或无意的点击来访问网站B

四、防御跨站请求伪造攻击方法

1.验证请求的Referer值,如果Referer是以自己的网络开头的域名,则说明该请求来自网站自己,是合法的。如果Referer是其他网站域名或空白,就有可能是CSRF攻击,那么服务器就应该拒绝请求,但是此方法存在被绕过的可能。攻击者可以使用Burp抓包来修改Referer值来欺骗服务器。

2.CSRF之所以能够成功,是因为攻击者可以伪造用户的请求,由此可知,抵御CSRF攻击的关键在于:在请求中加入攻击者不能伪造的信息。例如可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务器端验证token,如果请求中没有token或者token值不正确,则认为该请求可能是CSRF攻击从而拒绝该请求。

使用token值来防御CSRF的安全性明显高于使用Referer值

五、token与Referer介绍

1,对Referer的验证,从什么角度去做,如果做,怎么杜绝问题?
对header中的referer的验证,一个是空referer,一个是referer过滤或者检测不完善。为了杜绝这种问题,在验证的白名单里,正则表达式应该写的完善。

2.针对token的测试应该注意哪些方面,会对token的哪方面做测试?
(1):针对token的攻击,一是对他本身的攻击,重放测试一次性、分析加密规则、校验方式是否准确等,二是结合信息泄露漏洞对它的获取,结合着发起组合攻击。
(2):信息泄露有可能是缓存、日志、get,也有可能是利用跨站
(3):很多跳转登录都依赖token,有一个跳转漏洞加反射型跨站就可以组合成登录劫持了
(4):另外也可以结合着其他业务来描述token的安全性及设计不好怎么被绕过

想走安全的小白
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Web漏洞探索】跨站请求伪造漏洞
kjcxmx的博客
07-08 2376
跨站请求伪造Cross-site request forgery(也称为CSRF、XSRF)是一种Web安全漏洞,允许攻击者诱导用户执行他们不打算执行的操作。攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。它允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实
CSRF(跨站请求伪造)原理
weixin_62528361的博客
10-09 1268
CSRF攻击方式并不为大家所熟知,实际上很多网站都存在CSRF的安全漏洞。早在2000年,CSRF这种攻击方式已经由国外的安全人员提出,但在国内,直到2006年才开始被关注。
CSRF跨站请求伪造原理及示例
最新发布
m0_62480631的博客
04-04 1993
CSRF,全称为Cross-Site Request Forgery,即跨站请求伪造。这是一种攻击方式,它利用用户已登录的身份,在用户毫不知情的情况下,以用户名义执行非法操作。简单来说,就是攻击者诱导用户访问一个恶意网页,该网页利用用户当前的会话(例如,用户登录了一个网站后的cookie信息),在后台向另一个网站发起非法请求CSRF攻击也成为"one click"攻击
跨站请求伪造攻击原理防御
天外来客的博客
08-28 3749
攻击原理 跨站请求伪造(Cross Site Request Forgery,简称CSRF)能够形成的根本原因是利用了浏览器cookie自动发送的特点。如果浏览器cookie中保存了用户信息,该攻击利用了cookie共享机制获取了用户信息,因此可以正常通过系统的鉴权认证,实现非法操作。 下面以网上银行转账的例子来说明该攻击的流程。 1.小明在网上银行(bank.com)转账,浏览器cookie记...
WEB渗透之跨站请求伪造(CSRF)
weixin_43853965的博客
03-12 475
风险等级:中 漏洞风险:恶意攻击者可以通过跨站的方式操纵用户行为。 N-Base分类:远程攻击----服务器端跨站缺陷 漏洞描述:通过伪装来自受信任用户的请求来利用受信任的网站。 测试工具:BURP、手工 实战案例: CSRF漏洞一定程度来说是属于逻辑性漏洞,扫描器大多不靠谱,根据个人经验,AWVS主要是判断有表单的地方没有随机TOKEN,就会报一个‘’没有保护的CSRF表单‘’。APPSCAN则...
CSRF跨站请求伪造介绍和防御方法
投资自己
05-26 4599
一、CSRF介绍CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF攻击防御web安全的第一防线。攻击流程:                用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网...
CISP-PTE注册信息安全专业人员渗透测试工程师-认证课件资料
01-30
CISP-PTE注册信息安全专业人员渗透测试工程师-认证课件资料:2个版本,共25个课件文件 01.WEB安全简介 02.信息收集 03.漏洞扫描 ...05.SQL注入之基础篇 07.暴力破解 08.文件上传漏洞 ...14.CSRF跨站请求伪造 15.SSRF
安全性测试--CSRF攻击
02-26
CSRF(Cross-siterequestforgery),中文名称:跨站请求伪造,也被称为:oneclickattack/sessionriding,缩写为:CSRF/XSRF。你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做...
论文研究-跨站请求伪造CSRF攻击与防范技术研究 .pdf
08-23
跨站请求伪造CSRF攻击与防范技术研究,刘雅楠,马兆丰,跨站请求伪造CSRF攻击作为最严重的web漏洞威胁之一被列入了开放Web应用安全项目(OWASP)十大漏洞列表。该攻击具有很大隐蔽性和危
API-fuzzer:API Fuzzer,它允许使用常见渗透测试技术来模糊请求属性并列出漏洞
02-01
以下是API_Fuzzer gem中涉及的主要检查跨站点脚本漏洞SQL注入盲SQL注入XML外部实体漏洞IDOR(在特定情况下) API速率限制开放式重定向漏洞信息披露缺陷通过标题泄漏信息跨站请求伪造漏洞安装将此行添加到您的应用...
网络安全-跨站请求伪造CSRF)的原理攻击防御
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
简述跨站请求伪造--CSRF
qq_43189264的博客
07-22 154
跨站请求伪造CSRF 简介 CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作。 也就是说,攻击者借助合法用户的名义,在用户不知情的情况下发送了恶意(非用户意愿)的请求。服务器认为规则是合法的,但是用户却完成了一个恶意的操作(非用户意愿...
CSRF跨站请求伪造攻击防御
认知 行动 坚持
06-06 3438
产品的安全性,是第一位的。在之前工作中,坏人曾使用CSRF(cross-site request forgery)进行过恶意攻击,今天来聊一下CSRF攻击防御。顺便提醒大家: 1.遇到不明链接,不要随意乱点。 2. 在登录银行网站后,要记得退出登录,而不是直接关闭网页。
flask中的csrf防御机制
FreeSpider
07-17 2039
csrf概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
web渗透测试----15、SSRF漏洞(服务端请求伪造漏洞
七天
07-02 6563
SSRF漏洞是一种在未能获取服务器权限时,利用服务器漏洞,由攻击者构造请求,服务器端发起请求的安全漏洞攻击者可以利用该漏洞诱使服务器端应用程序向攻击者选择的任意域发出HTTP请求。 很多Web应用都提供了从其他的服务器上获取数据的功能,根据用户指定的URL,Web应用可以获取图片、下载文件、读取文件内容等。这种功能如果被恶意使用,将导致存在缺陷的Web应用被作为代理通道去攻击本地或远程服务器。这种形式的攻击被称为服务端请求伪造攻击。 一般情况下,SSRF攻击的目标是外网无法访问的内部系统。 文章目录前
web网站中常见攻击手法与原理
热门推荐
如故的博客
06-20 1万+
web网站中常见攻击手法与原理 01, 跨站脚本攻击(xss) 恶意攻击者通过往Web页面里插入恶意html代码,当用户浏览该页时,嵌入Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 分析一下xss的特点: 1、耗时间 2、有一定几率不成功 3、没有相应的软件来完成自动化攻击 4、前期需要基本的html、js功底,后期需要扎实的html、js...
使用令牌token,来避免跨站请求伪造CSRF攻击
yiyun88的专栏
11-30 1100
在涉及到关键业务操作的web页面,应为当前web页面生成一次性随机令牌,作为主会话标识的补充。在执行关键业务前,应确保用户提交的一次性随机令牌与服务器端保存的一次性随机令牌匹配,以避免跨站请求伪造CSRF)等攻击。 1、在公共JS中定义一个function 用来生成token ,然后将生成的token赋值给JSP里的隐藏域<input id="tokenV...
怎么防止跨站请求伪造攻击CSRF
A_991128a的博客
02-17 482
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。
网络攻防---常见的网络攻击技术及其原理
qq_33782655的博客
03-06 5328
听课笔记--网络攻击防御——常见的网络攻击技术及其原理 1.网络攻击的一般步骤 2.攻击前奏 3.实施攻击 一、网络攻击的一般步骤 1.确定攻击目标Targeting 2.信息收集 Information Gathering 3.获取用户的权限 Exploit 4.安装后门 Control 5.扩大影响 Lan Penetration 6.清楚痕迹 Clearing 1.确...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值