网络安全 kali Web安全之CSRF攻击

已于 2023-03-28 15:40:58 修改
阅读量874 收藏 4
点赞数
分类专栏: 码农 程序员 网络安全 文章标签: web安全 csrf 安全
于 2022-03-16 16:33:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xueshenlaila/article/details/123526572
版权

CSRF是什么?

CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。

举个例子

简单版:

假如博客园有个加关注的GET接口,blogUserGuid参数很明显是关注人Id,如下:

http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUserGuid=4e8c33d0-77fe-df11-ac81-842b2b196315

那我只需要在我的一篇博文内容里面写一个img标签:

<img style="width:0;" src="http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUserGuid=4e8c33d0-77fe-df11-ac81-842b2b196315"   />

那么只要有人打开我这篇博文,那就会自动关注我。

升级版:

假如有个加关注的接口,不过已经限制了只获取POST请求的数据。这个时候就做一个第三方的页面,但里面包含form提交代码,然后通过QQ、邮箱等社交工具传播,诱惑用户去打开,那打开过博客园的用户就中招了。

在说例子之前要

最低0.47元/天 解锁文章
极客事纪
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨站攻击(XSS+CSRF).docx
01-05
总结来说,XSS和CSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
Kali渗透测试之DVWA系列6——CSRF(跨站请求伪造)
浅浅的博客
05-11 3712
目录 一、CSRF简介 二、原理示意图 三、实验环境 四、实验步骤 安全级别:Low(四种方法) 安全级别:Medium 安全级别:High 安全级别:Impossible 一、CSRF简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为...
Web安全CSRF攻击
黑马程序员广州中心的专栏
12-31 268
CSRF是什么? CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的 CSRF攻击的本质原因 CSRF攻击是源于Web的隐式身份验证机制!Web的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器...
渗透测试-一文了解csrf漏洞
最新发布
lza20001103的博客
04-23 1330
渗透测试-一文了解csrf漏洞
安全测试小白到网络安全大佬的成长之路
xueshenlaila的博客
06-23 664
文章目录前言一、渗透测试是什么?二、Web安全基础要学习那些知识呢?1.概括总结 前言 最近看到很多的安全小白在询问如何去学习安全,如何去入手渗透测试等问题。突然有感而发,想起来自己当时从小白一步一步走向黑客大佬的成长之路。 随着因特网的发展和网络经济的兴起, 越来越多的企业将服务或交易平台放到了互联网上, 而且这些网络应用服务和企业的营收关联得也更紧密,甚至与企业的命运休戚相关, 但这些暴露在网上的资源往往防御能力比较薄弱, 加大硬件的投入并不能显著改善企业的安全水平, 在如此的瓶颈之下,企业.
DVWA靶机通关攻略第三关——CSRF攻击
小飞飞的博客
03-09 943
DVWA靶机通关攻略请求伪造详细教学
DVWA-CSRF(跨站请求攻击)
HoYim
03-27 317
CSRF(Cross-site request forgery) CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最...
Web应用安全CSRFpayload.doc
06-20
**Web应用安全:理解CSRF攻击与payload** CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,它利用受害者浏览器已有的身份验证信息,强制执行非用户意愿的操作。这种攻击通常发生在用户已经...
Web应用安全CSRFpayload.pptx
06-20
网络安全领域,特别是Web应用安全中,跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种常见且危险的攻击手段。这种攻击允许恶意用户在受害者不知情的情况下,利用其已登录的身份执行非预期的操作。而...
Kali Linux渗透测试(安全牛).txt
04-17
│ 任务005:网络配置、更新升级、安装软件包、浏览器插件.mp4 │ 任务006:安装Java、安装显卡驱动、安装网卡补丁、并发线程限制、电源优化.mp4 │ 任务007:.mp4 │ 任务008:.mp4 │ ├─第4章 实验环境 │ 任务...
信息安全_.第六期.CTF.Web之Vulnhub靶场.课件资料.pptx
08-14
总的来说,这门课程旨在通过Vulnhub靶场实战和CTF竞赛经验分享,帮助学习者深入理解Web安全,掌握渗透测试的基本技术和策略,同时也激发对网络安全的兴趣和热情。无论是为了提升技能,还是参加竞赛,都能从中学到...
CSRF漏洞详解
Jeromeyoung
03-02 5164
CSRF漏洞(Cross-site request forgery)!!! 同XSS一样,但很多时候很多人经常把XSS与CSRF漏洞混淆,他们之间有着本质的不同,就从信任的角度来区分: XSS:利用用户对站点的信任 CSRF:利用站点对已经身份认证的信任 实际上CSRF漏洞主要结合社会工程发起攻击。 漏洞利用条件: 1、被害用户已经完成身份认证 2、新请求的提交不需要重新身份认证...
CSRF
weixin_54475242的博客
03-23 308
CSRF漏洞 XSS: 利用用户对站点的信任 CSRF:利用站点对已经身份认证的信任 原理: 结合社工在身份认证会话过程中实现攻击(诱使已经身份认证的用户点击链接,便会执行请求): 1.修改账号密码,个人信息(email,收货地址) 2.发送伪造的业务请求(网银,购物,投票) 3.关注他人社交账号,推送博文 4.在用户非自愿,不知情的情况下提交请求 业务逻辑漏洞: 对关键操作(例如修改密码,修改身份信息等)缺少确认机制(验证码等) 自动扫描程序无法发现此类漏洞(是正常的访问请求,在服务器看来就是合法用
漏洞扫描(kali beef-xss、DNSlog、CSRF、SSRF)
m0_61506558的博客
08-04 1521
并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取、系统命令执行、内网端口 探测、攻击内网网站等危害。,'.yourid.ceye.io/jinyiuxin'))),1,0) 黑体处拼接SQL语句。gopher协议:是一种信息查找系统,只支持文本,不支持图像,已被HTTP替代。第三方网站利用被攻击网站生效的cookie,直接对服务器接口发起请求。抓取正常通信请求的数据包,再请求一次。.........
Kali Linux渗透测试——WEB渗透(二)
Captain_RB的博客
01-21 9580
Kali Linux渗透测试——WEB渗透(二) 笔记内容参考安全牛课堂苑房弘老师的Kali Linux渗透测试教程 文章目录Kali Linux渗透测试——WEB渗透(二)漏洞挖掘1.目录遍历/文件包含2.文件上传3.SQL注入4.XSS(Cross-Site Scripting)5.CSRF(Cross Site Request Forgery)6.WebShell7.HTTPS攻击8.P...
Kali Linux渗透测试 101 手动漏洞挖掘-CSRF 漏洞
kevinhanser
03-26 2144
本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 Kali Linux渗透测试(苑房弘)博客记录 1. 简介 从信任角度XSS:利用用户对站点的信任,攻击者通过注入程序来修改网站来使用户浏览器被重定向等 CSRF:利用站带你对已经身份认证的用户的信任,攻击者伪造一个链接误导用户点击链接来使用用户的身份认证
渗透测试技术----常见web漏洞--跨站请求伪造攻击原理及防御
wwl012345的博客
08-18 1578
一、跨站请求伪造攻击介绍 1.跨站请求伪造攻击简介 跨站请求伪造(Cross-site request forgery)简称为CSRF,这是一种对网站的恶意利用。CSRF实际上就是攻击者通过各种方法伪装成目标用户的身份,欺骗服务器,进行一些非法操作,但是这在服务器看来却是合法的操作。 2.CSRF与XSS的区别 尽管CSRF听起来很像XSS,但是却又与XSS有本质的区别。最本质的区别就是XS...
Metasploit渗透测试框架
qq_44237206的博客
05-16 498
Metasploit简介 Metasploit是一个渗透测试平台,使您能够查找,利用和验证漏洞。该平台包括Metasploit框架及其商业对手,如Metasploit Pro。 Metasploit是一个免费的、可下载的框架,通过它可以很容易对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛一夜之间,任何人都可以成为黑客,每个人都可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补..
Kali渗透测试:使用Metasploit对Web应用的攻击
Liu_Bruce的博客
05-15 3538
Kali渗透测试:使用Metasploit对Web应用的攻击 Web应用程序的漏洞数量众多,这里我们以其中一个命令注入漏洞为例复现一下。这种漏洞源于Web应用程序没有对用户输入的内容进行准确的验证,从而导致操作系统执行了攻击者输入的命令。下面是一段运行在Metasploitable2靶机上的PHP脚本,它来自于DVWA,代码如下: <html> <body> <form name="ping" action="#" method="post"> &

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值