CSFR(跨站请求伪造)攻击与防御

最新推荐文章于 2023-02-09 21:36:07 发布
VIP文章 最新推荐文章于 2023-02-09 21:36:07 发布
阅读量4.4k 收藏 20
点赞数 5
分类专栏: 学习笔记 文章标签: CSFR 跨站请求伪造 攻击 防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaohong_bo/article/details/90406475
版权

一、CSRF是什么?

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

二、CSRF可以做什么?

你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

三、CSRF漏洞现状

CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别 爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI…而 现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。

四、CSRF的原理

下图简单阐述了CSRF攻击的思想:

在这里插入图片描述

从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:

  1. 登录受信任网站A,并在本地生成Cookie
  2. 在不登出A的情况下,访问危险网站B

看到这里,你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。是的,确实如此,但你不能保证以下情况不会发生:

  1. 你不能保证你登录了一个网站后,不再打开一个tab页面并访问另外的网站
  2. 你不能保证你关闭浏览器了后,你本地的Cookie立刻过期,你上次的会话已经结束。(事实上,关闭浏览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了…)
  3. 上图中所谓的攻击网站,可能是一个存在其他漏洞的可信任的经常被人访问的网站

上面大概地讲了一下CSRF攻击的思想,下面我将用几个例子详细说说具体的CSRF攻击,这里我以一个银行转账的操作作为例子(仅仅是例子,真实的银行网站没这么傻:>)

示例1:

银行网站A,它以GET请求来完成银行转账的操作,如:
http://www.mybank.com/Transfer.php?toBankId=11&money=1000

危险网站B,它里面有一段HTML的代码如下:

<img src="http://www.mybank.com/Transfer.php?toBankId=11&money=1000">

首先,你登录了银行网站A,然后访问危险网站B,噢,这时你会发现你的银行账户少了1000块…

为什么会这样呢?原因是银行网站A违反了HTTP规范,使用GET请求更新资源。在访问危险网站B的之前,你已经登录了银行网站A,而B中 的以GET的方式请求第三方资源(这里的第三方就是指银行网站了,原本这是一个合法的请求,但这里被不法分子利用了),所以你的浏 览器会带上你的银行网站A的Cookie发出Get请求,去获取资源“http://www.mybank.com /Transfer.php?toBankId=11&money=1000”,结果银行网站服务器收到请求后,认为这是一个更新资源操作(转账 操作),所以就立刻进行转账操作…

示例2:

为了杜绝上面的问题,银行决定改用POST请求完成转账操作。

银行网站A的WEB表单如下:

	<form action="Transfer.php" method="POST">
    <p>ToBankId: <input type="text" name="toBankId" /></p>
    <p>Money: <input type="text" name="money" /></p
最低0.47元/天 解锁文章
zhaohong_bo
关注
  • 5
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Oxwall社交网站 1.8.4.1.zip
05-23
Oxwall是一个采用PHP MySQL开发,功能齐全的SNS社交网络系统,它能够让用户创建群组,活动,博客,论坛和上传照片与视频,可以对任意内容发表评论和添加标签,Oxwall支持通过插件扩展现有功能,外观也可以通过模板自定义。Oxwall社交网站 1.8.4.1 更新日志:2016-08-04平台【核心】:- 对网站的网页添加先进的SE​​O设置;- 增加选项来生成和更新网站地图;- 去除硬编码的提交表单元素;- 提出的理由轮廓悬挂在现场显示的;- 修复的预加载显示为简单的主题;- 引入硬编码禁止上传PHP文件;- 平台更新之前推出需要的PHP版本检查;- 当试图更新的插件,同时有可用的平台更新目前,该系统会警告管理员首先执行平台更新;- 修复的显示顺序移动版本内的个人资料视图页面上的个人资料栏;- 改变URL归属地;- 改变了防CSFR令牌一生的时间来满足用户的现场会话时间;- 个人资料编辑页面上修复的头像裁剪的bug;- 与CloudFlare的改进SSL一体化。论坛[论坛]:- 为简单起见主题引用文本修复显示。广告[广告]- 插件安装过程中修复的致命错误。视频[视频]- 与dailymotion.com修复融合。
CSRF攻击与XSS攻击
Nie_XiaoGang的博客
04-13 250
CSRF攻击 什么是CSRF攻击 跨站请求伪造,盗用他人的登录信息发送请求。要实现CSFR攻击需要满足以下条件: 用户登录目标站点,处于登录状态,用户身份验证信息都存储在cookie中,此时访问危险站点就有被攻击的风险 用户的登录的身份验证信息存储在cookie中,黑客就可以在不知道验证信息的情况下盗用用户的cookie完成身份验证。 防护方法: 服务器做接口校验,用户登录后服务器返回一个token给客户端,客户端每次请求时将token放入请求头中提交给服务器校验。 XSS攻击 什么时XSS攻击 跨站脚本攻
csfrwallet:SFRDirect 网络钱包
07-04
cSFR钱包 SFRDirect 的在线网络。 最初基于 (但几乎所有原始代码都已删除或重写)。 生产系统 主网: 测试网: 特征 确定性钱包地址(基于 BIP 32) 支持大部分 SFRDirect 功能 完全 AJAX 驱动 匿名的 在浏览器中运行,在内存中创建密钥 浏览器支持 桌面 Chrome 23+(首选) 火狐 25+ Safari 7+ 歌剧 15+ 值得注意的是,不支持 Internet Explorer,因为它缺乏完整的内容安全策略支持(即使是 IE 11)。 移动的 IOS Safari 7+ 安卓浏览器 4.4+ 安卓版 Chrome 33+ 适用于 iOS 35+ 的 Chrome 火狐安卓版 26+ 构建说明 在运行构建系统之前: sudo npm install -g grunt-cli bower 构建: cd src; b
诺西GSM常用优化参数现网设置策略评估
05-16
诺西GSM常用优化参数现网设置策略评估建议
九种跨域方式实现原理
03-03
前后端数据交互经常会碰到请求跨域,什么是跨域,以及有哪几种跨域方式,这是本文要探讨的内容。同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR攻击。所谓同源是指”协议+域名+端口”三者相同,即便两个不同的域名指向同一个ip地址,也非同源。同源策略限制内容有:Cookie、LocalStorage、IndexedDB等存储性内容DOM节点AJAX请求发送后,结果被浏览器拦截了但是有三个标签是允许跨域加载资源<imgsrc><linkhref>[removed]当协议、子域名、主域名、端口号中任意一个不相同时,都
Web安全之CSFR与XSS
Carol的小星球
11-30 1147
CSFR CSFR(Cross-Site Request Forgery跨站伪造请求)是一种网络攻击方式。攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起一些恶意请求(如恶意发帖、改密码、发邮件等),达到攻击目的。 攻击过程 用户打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A。 2.用户信息通过验证后,网站A...
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1706
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
CSRF攻击方式
weixin_30885111的博客
03-20 364
来源:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理...
常见的Web安全及其攻防姿势
weixin_33905756的博客
04-01 133
总结一下Web相关的安全攻防知识,让自己对这个知识点多一点了解,下面来聊聊Web中最常见的几种安全问题,包括攻击类型、原理以及怎样防御等。 1、XSS漏洞 XSS(Cross Site Scripting)跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足...
停车场管理程序
10-05
设停车场内只有一个可停放n辆汽车的狭长通道,且只有一个大门可供汽车进出。汽车在停车场内按车辆到达时间的先后顺序,依次由北向南排列(大门在最南端,最先到达的第一辆车停放在车场的最北端),若车场内已停满n辆汽车,则后来的汽车只能在门外的便道上等候,一旦有车开走,则排在便道上的第一辆车即可开入;当停车场内某辆车要离开时,在它之后开入的车辆必须先退出车场为它让路,待该辆车开出大门外,其它车辆再按原次序进入车场,每辆停放在车场的车在它离开停车场时必须按它停留的时间长短缴纳费用。试为停车场编制按上述要求进行管理的模拟程序。
Django+vue跨域问题解决的详细步骤
12-10
同源策略/SOP(Same origin policy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR攻击。所谓同源是指”协议+域名+端口”三...
前端XSS攻击和CSRF攻击
weixin_44823731的博客
12-25 483
1.XSS攻击 XSS攻击:(Cross Site Scripting)跨站脚本攻击。在渲染DOM树的过程中执行了不在预期内的js代码,就发生了XSS攻击攻击样例:在一些博客网站,发表一篇文章的时候,在文章中加入<script>alert('XSS攻击')</script>这种用script标签包含着的js语句。发表成功之后,当别人访问你的这篇文章的时候,就会自动执行alert('XSS攻击')这段代码。这样就属于xss攻击。更严重的,就在script标签中,获取你的cookie
内存保护学习(二):Tc27x的MTCR与MFCR指令
梦想技术家
09-02 1898
Move to Core Register :移动到核心寄存器指令Move From Core Register :从核心寄存器指令移动。
【无标题】
妖仙的博客
02-09 372
SCRF
网站安全个人总结
weixin_33756418的博客
05-12 170
常见攻击方式:XSS、SQL注入、木马、零日攻击、僵尸网络、资源枚举、参数操作、跨站请求伪造、钓鱼欺骗、Dos攻击拒绝服务等。 常用防止方式:黑名单过滤(有时候我们在对网站过来的请求进行黑名单处理 把那些暴漏出来的攻击方法写在黑名单中 当请求过来的时候第一时间去 用黑名单进行过虑 但是 这样的话就要时刻关注有那些漏洞 要及时的去添加到黑名单中 更新 这样就出现了一种被动的防御体系 要我们时时去关...
浅谈HTTP中GET、POST用法以及它们的区别
小雨点滴滴答答笑个不停
10-14 1万+
HTTP定义了与服务器交互的不同方法,最基本的方法有4种,分别是GET,POST,PUT,DELETE。URL全称是资源描述符。我们可以这样认为: 一个URL地址,它用于描述一个网络上的资源,而HTTP中的GET,POST,PUT,DELETE就对应着对这个资源的 查,改,增,删 4个操作。
Web之XSS
qq_62803993的博客
01-09 291
(1)输入在标签间的情况:测试是否被过滤或转义,若无则直接(2)输入在 script标签内:我们需要在保证内部JS语法正确的前提下,去插入我们的 payload。如果我们的输岀在字符串内部,测试字符串能否被闭合。如果我们无法闭合包裹字符串的引号,这个点就很难利用了可能的解决方案:可以控制两处输入且\可用、存在宽字节(3)输入在HTML属性內:首先査看属性是否有双引号包裏、没有则直接添加新的事件属性;
node-v16.12.0-darwin-x64.tar.xz
最新发布
04-23
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
解决django csfr跨域
05-30
Django中CSRF(Cross Site Request Forgery)跨站请求伪造攻击保护机制需要注意以下几点: 1. 在表单中添加{% csrf_token %}模板标签。 2. 在视图函数中使用@csrf_protect装饰器或者在模板中使用{% csrf_token %}模板标签。 3. 如果需要在Ajax中使用POST请求,需要在JavaScript中设置请求头X-CSRFToken的值为cookie中的csrftoken。 下面是一个简单的示例: 在模板中: ```html <form method="post" action="{% url 'some_view' %}"> {% csrf_token %} <!-- 表单内容 --> <button type="submit">提交</button> </form> ``` 在视图函数中: ```python from django.views.decorators.csrf import csrf_protect @csrf_protect def some_view(request): if request.method == 'POST': # 处理POST请求 pass else: # 处理GET请求 pass ``` 在JavaScript中: ```javascript function csrfSafeMethod(method) { // 需要排除的HTTP方法 return /^(GET|HEAD|OPTIONS|TRACE)$/.test(method); } $.ajaxSetup({ beforeSend: function(xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", Cookies.get('csrftoken')); } } }); ``` 其中,Cookies.get('csrftoken')是获取cookie中的csrftoken值的方法,需要使用第三方库js-cookie。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值