【漏洞】CSRF跨站请求伪造漏洞,springboot修复思路

最新推荐文章于 2024-06-14 16:51:07 发布
最新推荐文章于 2024-06-14 16:51:07 发布
阅读量1k 收藏 5
点赞数
文章标签: spring boot csrf 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youzhirong/article/details/122937539
版权

CSRF跨站请求伪造漏洞,修复思路

漏洞描述

漏洞描述:
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。
经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。

解决建议

解决建议:
增加拦截器,判断referer是否合法,合法则放行。
给出的例子,springboot的配置

referer:
  # 是否开启referer拦截
  enabled: true
  # 拦截referer白名单
  refererDomain:
    - localhost
    - 127.0.0.1

读取springboot配置类

import lombok.Data;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

import java.util.List;

@Component
@ConfigurationProperties(prefix = "referer")
@Data
public class RefererProperties {
   
    private Boolean enabled = false;
    // 白名单域名
    private List<String> refererDomain;
}

referer拦截器

import lombok.extern.slf4j.Slf4j;
import org.springframework.
最低0.47元/天 解锁文章
游游码路
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御
oscar999的专栏
07-17 1362
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击者伪造用户的浏览器请求,访问一个用户曾经访问过的网, 使目标网误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF 的攻击过程。...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CSRF(跨站请求伪造)漏洞 (带靶场演示+漏洞挖掘)
最新发布
wudideaqing的博客
06-14 1456
链接点击。
java springboot 通过Referer防止跨站请求伪造
qq_44154912的博客
10-21 4013
防止跨站请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
Springboot集成CSRF防攻击
hao_kkkkk的专栏
10-20 2472
springboot CSRF攻击防护
一、Springboot安全之防CSRF攻击
热门推荐
panchang199266的博客
10-18 1万+
(一)简要介绍   跨站请求伪造(Cross-site request fogery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的WEB应用程序上执行非本意的操作的攻击方法。   举个栗子: 用户小z登录了网A,同时打开网B 网B隐蔽的发送一个请求至网A 网A通过session、cookie等身...
Django CSRF跨站请求伪造防护过程解析
09-18
CSRF跨站请求伪造)是一种常见的网络安全威胁,攻击者利用用户的已登录状态,在用户不知情的情况下,通过恶意网发起对受害者的合法网请求,执行非用户意愿的操作。Django框架提供了一套强大的CSRF防护机制,...
CSRF跨站请求伪造,含使用教程和测试工具
05-04
CSRF跨站请求伪造,使用OWASP CSRFTester工具可以抓取并伪造请求,其测试原理是,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一...
CSRF跨站请求伪造)详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
php漏洞请求伪造与防止伪造方法
10-26
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种网络安全漏洞,攻击者通过诱导用户在未经许可的情况下执行非预期的操作,从而达到恶意目的。在PHP开发中,了解并防止这种攻击至关重要。 首先,我们...
Springboot中的csrf问题
weixin_45582552的博客
04-12 4487
1、CSRF是什么 CSRF(Cross Site Request Forgery),中文是跨站请求伪造CSRF攻击者在用户已经登录目标网之后,诱使用户访问一个攻击页面,利用目标网对用户的信任,以用户身份在攻击页面对目标网发起伪造用户操作的请求,达到攻击目的。 2、CSRF攻击的本质原因 CSRF攻击是源于Web的隐式身份验证机制!Web的身份验证机制虽然可以保证一个请求是来自于某个用户...
Spring Security跨站请求伪造CSRF
猪猪神功屁
08-03 1732
spring security 中 csrf
SpringSecurity源码学习五:域与跨站请求伪造
qq_27586963的博客
10-21 434
域是指在网络中,当一个网页的资源(如字体、脚本或样式表)尝试从不同的域名、端口或协议请求数据时,遇到安全限制问题。这是由于浏览器的同源策略所导致的。同源策略要求网页只能从同一域名下加载资源,而请求则违反了这个策略。为了解决域问题,可以采取一些方法,如使用JSONP、CORS、代理服务器等。JSONP是通过动态创建总结起来,域是指在网络中由于浏览器的同源策略而限制了不同域名、端口或协议之间的资源请求。通过使用适当的域解决方案,可以允许请求并获取所需的数据。
跨站请求伪造
JustinNeil的博客
08-15 609
跨站请求伪造概念攻击原理防范手段 概念   跨站请求伪造(Cross-site request forgery,CSRF),是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网认为是真正的用户操作而去执行。   XSS 利用的是用户对指定网的信任,CSRF 利用的是网对用...
Spring Boot中的CSRF攻击及预防
Java徐师兄的博客
07-06 1805
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序中,我们可以采取多种措施来预防CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,防止攻击者利用CSRF漏洞进行攻击。在实际开发中,我们可以根据实际需求选择适当的预防措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
Spring Security 6.x 系列【21】漏洞防护篇之跨站请求伪造
记录知识、锤炼自我
07-12 7759
除了认证授权外功能外,还提供了安全防护功能,比如跨站请求伪造 (CSRF跨站请求伪造,通常缩写为CSRF或者XSRF。简单来说就是攻击者通过一些技术手段,欺骗用户的浏览器去访问一个自己曾经认证过的网,并运行一些操作,比如发消息、转账、购买商品等。
Spring Security(学习笔记)--漏洞保护(csrf攻击与防御以及源码分析)!
TONGZHOUGONGDU的博客
04-29 422
CSRF是什么 ,跨站请求伪造,简单解释一下,就是用户登录某个界面,如银行界面,进行转账,完了之后并没有注销登录,而是打开一新的页面,在页面上点击了某个攻击者设下的链接,那么这个链接,就可以带着浏览器存储的cookie,发送给银行服务器,由于已经认证过了,所以银行服务器以为是用户自己的操作,就达成了攻击者的目的。我们登录第一个项目,然后点击转账,后台出现模拟转账的打印,然后,进入第二个项目的界面,直接点那张具备诱惑力的图片,然后,就发现,项目一,依然打印了转账的操作日志,这个就是跨站请求伪造
csrf防御】springboot项目如何防御csrf
run_boy_2022的博客
06-14 1170
CSRF(Cross-Site Request Forgery) ,通过单词简单理解就是跨站请求伪造,用通俗简单点就是攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的操作1、用户打开浏览器访问受信任网A,输入用户名和密码请求登录网A;2、在用户信息通过验证后,网A产生Cookie信息并返回给浏览器,此时用户登录网A成功,可以正常发送请求到网A;3、用户未退出网A之前,在同一浏览器中,打开一个TAB页访问网B;
CSRF跨站请求伪造漏洞
12-06
CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式,攻击者通过伪造用户请求来冒充用户身份,从而进行一些非法操作。攻击者通常在第三方网上设置陷阱,引诱用户点击链接或者访问页面,从而触发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值