小迪安全学习笔记--第29天web漏洞-csrf及ssrf漏洞案例讲解

最新推荐文章于 2024-03-14 13:38:54 发布
最新推荐文章于 2024-03-14 13:38:54 发布
阅读量657 收藏 1
点赞数
分类专栏: web安全自学笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zr1213159840/article/details/122351200
版权

CSRF SSRF 漏洞检测 防御策略 网络安全
关键词由CSDN通过智能技术生成

在这里插入图片描述

csrf漏洞解释,原理等

黑客利用某网站用户的登录状态,然后伪造请求的链接,造成对登录态用户的修改等各种危险操作

csrf漏洞检测,案例,防御等

漏洞的检测:

在bp中是存在检测工具的,通过生成的代码放在自己的服务器上运行是能判定是否存在csrf漏洞的
在这里插入图片描述

防御方案

1.当用户发送重要的请求时需要输入原始密码

2.设置随机token

3.检查referer来源,看host和referer来判断是否是自己修改的

4.设置密码

5.限制请求方式只能是post

在这里插入图片描述

SSRF漏洞解释,原理等

运用服务器本身在获取链接的时候会访问的原理,去利用这一点探测内网等各种信息

SSRF漏洞检测,案例,防御等

各个协议调用探针:http,file,dict,ftp,gopher等

漏洞攻击:端口扫描,指纹识别,漏洞利用,内网探针等

端口扫描就是利用内网的情况
在这里插入图片描述

铁锤2号
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
29 WEB漏洞-CSRFSSRF漏洞案例讲解-附件资源
03-05
29 WEB漏洞-CSRFSSRF漏洞案例讲解-附件资源
29-WEB漏洞-CSRFSSRF漏洞案例讲解
MCTSOG的博客
03-14 1271
CSRF CSRF 漏洞解释,原理 CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击。 CSRF离不开Cookie,并不是说要获取Cookie,而是利用浏览器保存已有的Cookie数据来做跳转,而XSS恶意代码执行是辅助CSRF去执行,当然,XSS还有可能有其它用途,比如挖矿等等。现在基本上都不用打开另外一个页面去获取Cookie,结合XSS在本站下
[小迪安全29]CSRFSSRF
weixin_54252904的博客
05-31 296
CSRFSSRFCSRF跨站请求伪造检测是否存在CSRF防御方案SSRF服务器请求伪造对应网站可使用的协议HFS漏洞复现 CSRF跨站请求伪造 通过修改数据抓取数据包 提取修改数据的报文 通过在外网的服务器上建立数据包 当后台管理处于登录状态不小心访问到刚才抓取数据包修改信息的网站时,就会触发恶意代码 信息被修改 检测是否存在CSRF 利用工具Burpsuit 抓取修改信息的数据包,并把其发送到Burpsuit的CSRF poc模块 修改一些信息,并复制 复制到外网服务器的网站中 当点击外
(2020上半年第29(逻辑安全-越权及登录安全))小迪网络安全笔记
u013630181的博客
12-05 507
web漏洞-CSRFSSRF漏洞
weixin_46425310的博客
06-17 179
web漏洞-CSRFSSRF漏洞 CSRF:在引导用户访问的恶意网页中植入恶意请求包(例如转账请求),当用户在登录手机银行时同时访问恶意网页,就会执行该恶意请求。 如何检测有没有csrf:可以用burpsuite的CSRF poc generator模块来检测 防御方案: * tooken验证,每一个数据包包含一个tooken值,会根据tooken的值来判断执不执行数据包; * 同源策略验证 * 设置验证码 * 限制请求方式只能为post SSRF:服务器请求伪造,攻击者无法直接探测到内网主机信息,但可以
web漏洞小迪安全课堂笔记CSRFSSRF
weixin_42902126的博客
03-25 920
什么是CSRF ?怎么做? CSRF:跨站请求伪造(Cross-site request forgery) CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 当用户访问含有恶意代码的网页时,会向指定正常网站发送非本人意愿的数据请求包(如转账给hack,向hack发送API等)如果此时用户恰好登录了该正常网站(也就是身份验证是正常的)就会执行该恶意代码的请求,从而造成CSRF。 与在XSS章节中提到的在博客里写入获取cookie的代码,在管理员登录后台查看时就会窃取其cook
SSRF漏洞原理与案例演示
weixin_43534549的博客
06-03 406
查看后端代码 修改网址
WEB漏洞-CSRFSSRF
硫酸超的博客
08-18 496
CSRF 漏洞解释 解释 攻击者盗用了你用户的身份信息,以用户的名义发送恶意请求,对服务器来说这个请求是合法用户发起的,却完成了攻击者所期望的一些操作。 利用目标用户的合法身份,以目标的名义执行某些非法参数 利用条件:已经登录系统被目标网站授权,cookie值未过期,没有二次验证 演示 靶场:pikachu 点击修改,抓数据包修改 触发这个数据包就会更改数据 写一个html 被攻击者访问这个html页面,如果对方是已经被授权登录,就会触发里面的script代码,导致信息被修改 CSRF 漏洞检测,防御
WEB渗透学习笔记8——csrfssrf漏洞
林林木林林L的博客
08-09 1480
CSRF漏洞 CSRF漏洞介绍 跨站点请求伪造(Cross Site Request Forgery)是一种经典的网络攻击方式,它一直是OWASP TOP 10之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来和跨站脚本攻击很相似,但它与跨站脚本攻击非常不同,并且攻击方式几乎完全不一样。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。跨站脚本攻击利用站点内的信任用户,而CSRF
小迪安全40WEB 攻防-通用漏洞&CSRF&SSRF&代码审计&同源策略&加载函数
最新发布
weixin_73760178的博客
03-14 886
11.未公开的api实现以及其他扩展调用URL的功能:可以利用google 语法(inurl:)加上这些关键字去寻找SSRF漏洞一些的url中的关键字: share. wap、 url、 link. src、 source. target. U、3g、 display、sourceURI、imageURL. domain..这些是都会向服务器去请求我们所发送的信息,若配置不当,我们输入了访问它自身的地址,则会回显出它自身的情况。号或其他的号就被盗了。网站采集,网站抓取的地方:一些网站会针对你输入的。
小迪安全_web-2
weixin_44060420的博客
06-08 2040
知识点:1、CSRF-原理&危害&探针&利用等2、SSRF-原理&危害&探针&利用等3、CSRF&SSRF-黑盒下漏洞探针点#详细点:CSRF全称:Cross-site request forgery,即,跨站请求伪造,也被称为OneClick Attack”或Session Riding",通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。举个生活中的例子:就是某个人点了个奇怪的链接,自己什么也没输,但自己的qg号或其他的号就被盗了。
小迪安全--csrfssrf
wcwdnmdnmd的博客
08-26 337
csrfssrf
CSRF 漏洞验证
QYbkx974的博客
11-13 274
这次讲系统学习CSRF 漏洞方法二可以使用bp直接生成一个链接,比方法一要简单快捷,温馨提示不要随便点击陌生链接。
bp利用CSRF漏洞(dvwa)
m0_56578216的博客
08-28 192
打开dvwa,将难度调为low,点击CSRF,打开后发现有一个修改密码的输入框:在这里修改密码,并用bp抓包,在http history查看数据包,点击engagement tools中的Generate CSRF Poc根据请求包生成一个CSRF攻击的网页:在生成的代码中修改密码为12345,点击test in browser在浏览器中测试:复制生成网页的URL:然后在不关闭dvwa的情况下访问生成的恶意网站,点击按钮:
CSRF漏洞剖析
zmzsg100的专栏
12-04 860
CSRF的前世今生
CSRF检测的两种方法
Later_future的博客
05-17 9455
CSRF检测的两种方法 方法1:CSRFTester-1.0 使用工具注意事项: run.bat中jdk的目录按当前电脑路径自行更改点击run.bat才可使用 关于浏览器进行代理问题须是HTTP的代理,在CSRFTester中才接收的到 功能略显不足,在部分测试页面中抓取的表单不能修改参数 这里使用metinfo5.3.1成功进行了工具的使用研究 1.登录metinfo5.3.1的后台创建test用户并使CSRFTester进行监听 2.停止监听,找到对应的请求进行参数修改这里创建了一个fu
使用burp suite验证是否存在csrf漏洞
good good study
03-17 6625
burp suite中集成了验证csrf漏洞的poc,直接使用就可以,不用自己构建表单了,非常方便。用pikachu的csrf来进行验证吧。 CSRF(get) 提交修改个人信息后,截取数据包,选择如下 如下,我们将原本的手机111...修改为2222,复制burp构造的表单链接,在同一个浏览器打开(没有退出登录的前提下) 点击 数据被修改成功,存在csrf CSRF(POST) 也是一样的方式,就不再演示,如果数据被修改成功,则存在漏洞 CSRF(Token) 由于携带了
利用BURPSUITE检测CSRF漏洞
秃桔子的博客
05-08 2252
利用BURPSUITE检测CSRF漏洞 CSRF漏洞的手动判定:修改referer头或直接删除referer头,看在提交表单时,网站是否还是正常响应。 下面演示用Burpsuite对CSRF进行鉴定。 抓包。 成功修改密码完成漏洞的利用。 posted @ 2019-05-08...
WEB漏洞深度解析:CSRFSSRF案例及防护策略
在第29WEB漏洞讲解中,主要关注了两种常见的安全问题:CSRF(Cross-Site Request Forgery)漏洞SSRF(Server-Side Request Forgery)漏洞。这两种漏洞威胁到Web应用程序的安全,尤其是在处理用户提交的敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值