CSRF和SSRF漏洞

最新推荐文章于 2024-04-13 23:52:10 发布
最新推荐文章于 2024-04-13 23:52:10 发布
阅读量687 收藏 3
点赞数 1
分类专栏: 理论 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjdda/article/details/106414319
版权

CSRF漏洞简介

CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。CSRF攻击方式并不为大家所熟知,实际上很多网站都存在CSRF的安全漏洞。早在2000年,CSRF这种攻击方式已经由国外的安全人员提出,但在国内,直到2006年才开始被关注。2008年,国内外多个大型社区和交互网站先后爆出CSRF漏洞,如:百度HI、NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站)和YouTube等。但直到现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”,其威胁程度由此“美誉”便可见一斑。

攻击原理

用户登录网站访问一个正常的网页后,在用户未退出此网站时又打开了另一个恶意页面,此页面会返回一些攻击性的代码,并发送一个请求给用户所登录的正常页面,正常页面不知道是恶意页面发送的请求,所以会根据用户登录的权限来执行恶意页面的代码。

CSRF攻击分类

CSRF漏洞一般分为站外和站内两种类型。

最低0.47元/天 解锁文章
zjdda
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
csrf&ssrf漏洞详解
weixin_56714714的博客
07-25 1416
CSRF 什么是CSRF? 跨站请求伪造也叫CSRF/XSRF 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF攻击的危害 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求 CSRF危害:以你的名义发送邮件,发
网络安全笔记 -- CSRF漏洞SSRF漏洞
swy66的博客
09-10 2666
CSRF漏洞SSRF漏洞
SSRF和CSRF
m0_56135391的博客
04-12 377
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) 简单来说,网站对于跳转重定向的网址没有进行严格的过滤,攻击者就可以利用构造的恶意链接,诱惑用户在访问某一页面时点击该链接,从而达到渗透到内网的目的。 CSRF:跨站请求伪造 挟制用户在当前已登录的Web应用程序上执行非本意.
CSRFSSRF
bossDDYY的博客
07-27 1481
CSRFSSRF
29 WEB漏洞-CSRFSSRF漏洞案例讲解-附件资源
03-02
29 WEB漏洞-CSRFSSRF漏洞案例讲解-附件资源
第29天:WEB漏洞-CSRFSSRF漏洞案例讲解1
08-03
1、当用户发送重要的请求时需要输入原始密码 3、检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章, 4、设置验证码
008-Web安全基础4 - 请求伪造漏洞.pptx
10-11
SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统 可以对外网、内网、本地进行端口扫描,某些情况下端口的Banner会回显出来(比如3306的) 使用...
SecExample:JAVA 漏洞靶场 (Vulnerability Environment For Java)
07-24
star:[CSRF漏洞]:glowing_star::glowing_star:[SSRF漏洞]:glowing_star::glowing_star:[CORS漏洞]:glowing_star::glowing_star::glowing_star::glowing_star:[反序列化漏洞-Fastjson反序列化]:glowing_star::glowing...
Web攻击之CSRFSSRF
立志成为一个前端、后端、测试全方位发展的程序员
08-27 269
文章目录WEB攻击一、CSRF1. 举例2. 漏洞防御方式2.1 验证Referer字段2.2 在请求地址添加token并验证二、SSRF1. 举例2. 漏洞防御方式3. 二者的区别 WEB攻击 一、CSRF 1. 举例 通过对银行的网站发送请求 “http://bank.example/withdraw?account=bob&amount=1000000&for=bob2”可以使 Bob把1000000块的存款转到Bob2的账号下。黑客自己做一个网站,在网站放入如下代码: src=“
csrf漏洞攻击手段和影响详解
lidiya007的博客
01-17 477
针对web应用安全csrf漏洞两种典型的攻击方式:即输入和执行,这种简单模式下的攻击手段以及途包含确认页面的攻击方法。 图解什么是csrf漏洞   我们先进行约束,比如存在csrf漏洞的网站叫webA攻击者webB,受害者userA它访问的是webA,也就是webA对于受害者user来说它是一个可信的网站。用户通过浏览器登录了网站A后,输入了账号密码,登录成功,确认通过,这个时候,这个网站
前端安全-XSS、CRSF、SSRF总结
风物长宜放眼量
04-03 715
前端安全-XSS、CRSF、SSRF总结 引用 作者:美团技术团队 前端安全系列之一:如何防止XSS攻击? 链接:https://juejin.im/post/5bad9140e51d450e935c6d64 前端安全系列之二:如何防止CSRF攻击? 链接:https://juejin.im/post/5bc009996fb9a05d0a055192 作者:BerL1n 链接:https://w...
SSRF
ws1813004226的博客
05-17 4146
一、SSRF是什么? SSRF是由一种攻击者构造请求,由服务器端发起请求的安全漏洞。一般情况下SSRF的攻击目标是外网无法访问到的内部系统。(正因为请求是由服务器发起的,所以服务器端能请求到与自身相连而与外网隔离的内部系统。) 二、SSRF是怎样形成的? SSRF的形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 三、SSRF主要攻击方式 (1)对外网,服务器所在内网、本地进行端口扫描,获取一些服务的banner信息。 (2)攻击运行在内网或本地的应用程序。 (3)对内
浅谈csrfssrf
西部壮仔的博客
02-01 881
CSRF CSRF,本名为Cross-site requestforgery,也就是跨站请求伪造。 说到CSRF,不得不提一下XSSCSRF看起来好像和XSS跨站脚本攻击有着“不得不说的秘密”,实则却是两个不同维度的情况。从名字上来看,同为跨站攻击,XSS攻击是跨站脚本攻击,CSRF攻击是请求伪造,也就是CSRF攻击本不是出自用户之手,却经过第三方恶意攻击者的处理,伪装成了受信任用户的“亲历亲为...
浅谈CSRFSSRF
xdjxi的博客
03-28 4472
CSRF(跨站请求伪造) CSRF原理 1.有一个漏洞存在(无需验证、任意修改后台数据、新增请求); 2.伪装数据操作请求的恶意链接或者页面; 3.诱使用户主动访问或登录恶意链接,触发非法操作; 产生的条件 1.需要目标站点或系统存在一个可以进行数据修改或者新增操作,此操作被提交后台后的过程,其未提供任何身份识别或校验的参数 2.后台只要收到请求,就立即下发数据修改或新增的操作 漏洞的危害 1.用户密码的修改 2.购物地址的修改 3.后台管理账户的新增 防御方法 1.验证 HTT
CSRF&SSRF
最新发布
Lenovoliao的博客
04-13 967
SSRF(Server-Side Request Forgery,服务端请求伪造)是一种安全漏洞,允许攻击者发送伪造的请求,使目标服务器在其内部网络或本地系统上执行操作,而无需直接与攻击者进行通信。这种漏洞通常发生在应用程序未正确验证用户提供的输入并将其用作远程资源的请求目标时。SSRF 的危害包括:内部网络访问: 攻击者可以利用 SSRF 漏洞访问目标服务器内部网络上的资源,包括敏感数据、配置信息等。这可能导致信息泄露或其他更严重的攻击。
XSS,CSRF,SSRF三种漏洞的区别和共同点
热门推荐
18年3月萌新白帽子
07-03 1万+
以下言论均是个人在学习过程总结而来,仅代表个人观点,由于博主也是web安全初学者,所以发表的观点很可能会存在一些错误或者有些不严谨的地方,如果您觉得哪里说的不对或者不合适,请随时在下方留言,希望能跟大家能够一起学习、进步,感谢。个人总结:相同点:XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。不同点:XSS是服务器对用户输入的...
Web 安全漏洞 SSRF 简介及解决方案
weixin_33811539的博客
01-22 1283
Update: 评论区有同学提出通过域名获取 IP 地址时可能遭遇攻击,感谢提醒。本人非安全专业相关人士,了解不多,实在惭愧。 说到 Web 安全,我们前端可能接触较多的是 XSSCSRF。工作原因,在所负责的内部服务遭遇了SSRF 的困扰,在此记录一下学习过程及解决方案。SSRF(Server-Side Request Forgery),即服务端请求伪造,是一种由攻击者构造形成由服务端...
简述Web安全之SSRF漏洞
weixin_51220765的博客
12-10 343
Web安全之SSRF漏洞 一、SSRF漏洞原理概述 概述: SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 原理: 服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 二、SSRF可以做什么? 可以对外网服务器所在的内网、本地进行端口扫描,获取一些服务的banner信息 。 攻击运行在内网或者本地的应用程序。 对内网web应用进行指纹
csrf漏洞ssrf漏洞
03-30
SSRF漏洞(Server-Side Request Forgery)是一种服务器端的安全漏洞,攻击者利用该漏洞可以在服务器端发起网络请求,攻击者可以利用该漏洞进行端口扫描、内网探测、读取本地文件等操作。攻击者通常会构造一个特殊的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值