CSRF的防范

最新推荐文章于 2023-09-14 21:47:26 发布
最新推荐文章于 2023-09-14 21:47:26 发布
阅读量230 收藏
点赞数
分类专栏: 安全测试 文章标签: 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xinyi0622/article/details/105262546
版权

 CSRF(Cross Site Request Forgery)是常见的web攻击,攻击者诱使用户访问一个页面,就以该用户身份在第三方站点里执行操作,进行攻击。

CSRF的攻击过程,往往是在用户不知情的情况下构造了网络请求。

1、添加验证码

  •  验证码强制用户必须与应用进行交互,才能完成最终请求。
  •  验证码是一种辅助手段,不能作为最主要的解决方案。

2、referer检查

检查请求header中的referer也能帮助防止CSRF攻击,但服务器不是总能拿到referer,浏览器可能出于安全或隐私而不发送referer,所以也不常用。图片防盗链中用得很多。

3、Anti CSRF Token

更多的是生成一个随机的token,在用户提交数据的同时提交这个token,服务器端比对后如果不正确,则拒绝执行操作

4、Use the Same-Site Flag in Cookies

The Same-Site Flag in Cookies是一种相对较新的方法,用于防止CSRF攻击。假设https://attacker.com/可以发送POST请求与会话cookie一起到https://example.com/。此会话cookie对于每个用户是唯一的,并且Web应用程序使用它来区分不同的用户其他, 并确定您是否已登录。 

如果会话cookie被标记为 同一站点cookie,它只与源自同一域的请求一起发送。因此,假设https://example.com/index.php想要发送POST请求到https://example.com/post_comment.php。使用相同的网站Cookie,这是允许的。 

但是,如果https://attacker.com/想要发布https://example.com/post_comment.php的发布请求,则会话cookie将不会与请求一起发送,因为它是不同的域。这意味着如果攻击者的网站发送请求,它会发送没有会话cookie。因此,Web应用程序假定您没有登录并拒绝请求,成功阻止了跨站点请求伪造尝试。 

 

xinyi0622
关注
专栏目录
CSRF如何防范
qq_45963949的博客
11-03 1312
CSRF一种Web 上的攻击手法,全称是Cross Site Request Forgery,跨站请求伪造。攻击者透过盗用使用者的身份,悄悄发送一个请求或是执行一些恶意行为
如何预防 CSRF 攻击
彳亍
04-16 4761
简介CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,是一种对网站的恶意攻击。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同。XSS 利用的是站点内的信任用户,而 CSRF 则通过伪装成(假冒)站点内的信用用户,执行该用户不知情的操作。与 XSS 攻击相比,CSRF 攻击往往不太流行...
CSRF攻击以及预防
清风的专栏
03-17 1476
<br />一.CSRF是什么?<br />  CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。<br />二.CSRF可以做什么?<br />  你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求 。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财
网络攻击——CSRF攻击
PUIWAH的博客
03-24 1340
CSRF攻击 CSRF全称是跨站请求伪造(cross site request forgery),CSRF伪装受信任用户,向第三方平台发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。 一个典型的CSRF攻击有着如下的流程: 受害者登录 a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了 b.com。 b.com 向 a.com ...
CSRF防范措施
Ethan024的博客
03-20 749
CSRF防范措施 增加token验证(常用做法): 对关键操作增加token参数,token值必须随机,并且每次都不一样;关于安全的会话管理(避免会话被利用); 不要在客户端保存敏感信息(身份证认证信息); 测试直接关闭/退出时,会话过期机制; 设置会话过期机制,比如15分钟内误操作,则登录超时; 访问控制安全管理: 敏感信息的修改时需要对身份进行二次认证(比如修改账号,要求输入旧密码); 敏感信息的修改使用post,而非get; 通过http头部的referer来限制原页面(验证链接来源); 增
CSRF 攻击防范措施
程序员徐师兄的博客
07-13 3122
CSRF 攻击一种常见Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
anticsrfCSRF预防库的示例用法
02-02
为了防御这种攻击,开发人员通常会使用CSRF预防库,如本话题提到的"anticsrf"。这个库主要用于ASP.NET平台,以增强Web应用的安全性。在本文,我们将详细探讨anticsrf库的使用方法以及如何在ASP.NET和JavaScript...
Web应用安全:CSRF防范对策.pptx
06-19
**Web应用安全:CSRF(跨站点请求伪造)防范对策** **一、CSRF的定义** CSRF(Cross Site Request Forgery),文称为跨站点请求伪造,是一种恶意攻击手段攻击者利用用户已登录的身份,诱导用户访问含有恶意请求...
Web应用安全:CSRF防范辅助性对策.pptx
06-19
为了有效防范CSRF,开发者需要采取多种策略,结合主要对策和辅助性对策来构建多层防线。 **主要防范对策:** 1. **验证HTTP Referer字段**:Referer头信息通常包含用户访问来源的URL,正常情况下,来自同一网站的...
如何预防 CSRF 攻击
春风化雨
12-17 2032
1、CSRF 攻击 CSRF:Cross-Site Request Forgery(文:跨站请求伪造),可理解为攻击者盗用某用户的身份,以此用户的名义发送恶意请求,比如:发送邮件、发消息、购买商品,虚拟货币转账等。 2、防御措施 1)验证请求来源地址。 2)关键操作添加验证码进行验证。 3)在请求地址或heder添加 token ,后台进行验证。 ...
CSRF攻击防御方法
段远山
04-24 2596
目前防御 CSRF 攻击主要有三种策略: 1、 验证 HTTP Referer 字段; 根据 HTTP 协议,在 HTTP 头有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。对于每一个请求验证其 Referer 值 2、在请求地址添加 token 并验证; 可以在 HTTP 请求以参数的形式加入一个随机产生的 token,并在服...
CSRF原理及预防
qq_29253285的博客
06-14 326
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
CSRF攻击方式及预防准则
PLAIDC的博客
12-29 7571
跨站点请求伪造(CSRF) 是一种攻击类型,当恶意网站、电子邮件、博客、即时消息或程序导致用户的Web浏览器在用户通过身份验证后对受信任的站点执行不需要的操作时,就会发生这种攻击。因此,如果用户通过了站点的身份验证,则站点无法区分合法的授权请求和伪造的身份验证请求。实际上,攻击者使用CSRF攻击,在受害者不知情的情况下,通过受害者的浏览器使目标系统执行某项功能,至少在提交未经授权的事务之前是如此。尽管有许多CSRF预防机制。在某些情况下,它们是无效的,而在其他情况下,很难在特定应用程序实现或产生副作用。
【 安全】什么是CSRF攻击?如何避免?开发的时候怎么预防?
最新发布
DreamSun的博客
09-14 4270
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
CSRF的原理以及防范
为你永不更名的博客
08-01 166
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其Web A为存在CSRF漏洞...
程序猿必读-防范CSRF跨站请求伪造
weixin_34232617的博客
02-27 252
CSRF(Cross-site request forgery,文为跨站请求伪造)是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站,这种攻击方式虽然不是很流行,但是却难以防范,其危害也不比其他安全漏洞小。 本文将简要介绍CSRF产生的原因以及利用方式,然后对如何避免这种攻击方式...
XSS,CRSF,sql三者的概念,以及如何防止其注入,PHP参数过滤
07-23 325
1.什么是XSS攻击防范?如何防止XSS攻击?如何过滤用户输入? (1)什么是XSS攻击防范?如何防止XSS攻击? https://blog.csdn.net/loophome/article/details/53896012 (2)如何过滤用户输入 https://blog.csdn.net/come_on_air/article/details/54342896 2.php 参数过滤...
如何防止CSRF攻击
风烟
01-30 4567
什么是CSRF CSRF(cross-site request forgery)跨站请求伪造:攻击者诱导受害者进去第三方网站,在第三方网站,向被攻击网站发送垮站请求,利用受害者在被攻击网站已经获取的登陆凭证。绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作。 一个典型的CSRF攻击有着如下的攻击流程: 受害者登陆a.com,并保留了登陆凭证(cookie) 攻击者引诱受害者访问了b.com b.com向a.com发送了一个请求: a.com/act=xxx。浏览器会默认携带a.com的cooki
Web安全入门:SQL注入、XSS与CSRF防范详解
防范CSRF通常涉及使用随机令牌、检查来源头或在表单加入验证码。 4. 点击劫持(Clickjacking):攻击者通过掩盖真实页面,诱使用户无意点击包含恶意脚本的隐藏窗口,实现对用户的操控。防止点击劫持的方法包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值