java代码审计之CSRF

最新推荐文章于 2024-03-17 16:33:20 发布
原创 最新推荐文章于 2024-03-17 16:33:20 发布 · 756 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

介绍

这种漏洞一般不需要通过代码审计来发掘直接黑盒最方便。跨站请求伪造(Cross-Site Request Forgery, CSRF)是一种使已登录用户在不知情的情况下执行
某种动作的攻击。因为攻击者看不到伪造请求的响应结果,所以 CSRF 攻击主要用来执行动作,而非窃取
用户数据。当受害者是一个普通用户时, CSRF 可以实现在其不知情的情况下转移用户资金、发送邮件等操
作;但是如果受害者是一个具有管理员权限的用户时 CSRF 则可能威胁到整个 Web 系统的安全。

CSRF原理

漏洞示例

由于开发人员对 CSRF 的了解不足,错把“经过认证的浏览器发起的请求”当成“经过认证的用户发起的请
求”,当已认证的用户点击攻击者构造的恶意链接后就“被”执行了相应的操作。例如,一个博客删除文章
是通过如下方式实现的:
GET http://blog.com/article/delete.jsp?id=102
当攻击者诱导用户点击下面的链接时,如果该用户登录博客网站的凭证尚未过期,那么他便在不知情的情
况下删除了 id 为 102 的文章,简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本
身是用户自愿发出的。

审计策略

此类漏洞一般都会在框架中解决修复,所以在审计 csrf 漏洞时。首先要熟悉框架对 CSRF 的防护方案,
一般审计时可查看增删改请求重是否有 token、 formtoken 等关键字以及是否有对请求的 Referer 有进
行校验。手动测试时,如果有 token 等关键则替换 token 值为自定义值并重放请求,如果没有则替换请求
Referer 头为自定义链接或置空。重放请求看是否可以成功返回数据从而判断是否存在 CSRF 漏洞。

修复方案

Referer 校验,对 HTTP 请求的 Referer 校验,如果请求 Referer 的地址不在允许的列表中,则拦截
请求。
Token 校验,服务端生成随机 token,并保存在本次会话 cookie 中,用户发起请求时附带 token 参
数,服务端对该随机数进行校验。如果不正确则认为该请求为伪造请求拒绝该请求。
Formtoken 校验, Formtoken 校验本身也是 Token 校验,只是在本次表单请求有效。
对于高安全性操作则可使用验证码、短信、密码等二次校验措施
增删改请求使用 POST 请求
 

 

Java代码审计——WebGoat CSRF (上)
m0_61506558的博客
12-02 688
CSRF(Cross Site Request Forgery,跨站点请求伪造)是目前出现次数比较多的漏洞,该漏洞能够使攻击者盗用被攻击者的身份信息,去执行相关敏感操作。实际上这种方式是攻击者通过一些钓鱼等手段欺骗用户去访问一个自己曾经认证过的网站,然后执行一些操作(如后台管理、发消息、添加关注甚至是转账等行为)。由于浏览器曾经认证过,因此被访问的网站会认为是真正的用户操作而去运行。简而言之,CSRF 漏洞的工作原理是攻击者盗用了用户的身份,以用户的名义发送恶意请求
Java代码审计CSRF
大河之犬的博客
05-13 919
CSRF(跨站点请求伪造)是目前出现次数比较多的漏洞,该漏洞能够使攻击者盗用被攻击者的身份信息,去执行相关敏感操作。实际上这种方式是攻击者通过一些钓鱼等手段欺骗用户去访问一个自己曾经认证过的网站,然后执行一些操作(如后台管理、发消息、添加关注甚至是转账等行为)简而言之,CSRF 漏洞的工作原理是攻击者盗用了用户的身份,以用户的名义发送恶意请求。一次完整的 CSRF 攻击需要具备以下两个条件用户已经登录某站点,并且在浏览器中存储了登录后的 Cookie 信息在不注销某站点的情况下,去访问攻击者构造的站点。
Java代码审计安全篇-CSRF漏洞
m0_63138919的博客
03-17 1616
本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出
java判断用户是否在某一个区域登录_Java安全编码之CSRF
weixin_40002238的博客
12-02 341
此文章为该系列的第二篇。上一篇:Java安全编码之sql注入。简介CSRF攻击者可以利用该漏洞诱使用户执行他们不打算执行的操作。它允许攻击者从不同网站上攻击某一网站的某一用户。使他们执行一些非预期的操作。在这里实验的是我们登陆后,通过CSRF漏洞来修改用户的手机号。框架此次我们使用SpringBoot作为基础框架,登录框架采用shiro。这里没有具体的dao层配置说明SpringBoot...
java csrf_Java解决CSRF问题
weixin_42512246的博客
02-12 1495
CSRF是什么?CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF可以做什么?你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账....
Java代码审计CSRF漏洞详解
悦分享
01-23 481
CSRF是指利用受害者尚未失效的身份认证信息( cookie、会话等信息),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作(如转账、改密、信息修改等操作)。攻击者盗用了你的身份伪造一个请求,用户一旦点击了这个请求,整个攻击也就完成了。CSRF通常的攻击方式:以你的名义发送邮件、消息、购买商品、转账、盗取账号信息等。name=victim&sex=男&phone=xxx&emial=xxx&money=100。
Java代码审计工程师 视频教程 下载 百度网盘链接2.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
Java代码审计工程师 视频教程 下载 百度网盘链接4.zip
最新发布
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
java csrf_Java学习——csrf
weixin_35130561的博客
02-16 274
csrf(Cross-site request forgery):跨站请求伪造防止csrf攻击简单思路: 在服务器上生成一个token, web端发起请求都带上token这个参数, 请求中的token与服务端的token不一致,则抛出误.具体建议参考:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html举个例子,用户通过表单发...
DVWA之CSRF代码审计
渗透之路,攻防之间皆学问
09-01 3734
目录 Low Medium High Impossible Low 如下,我们知道页面的功能一个有两个。一个是修改当前dvwa登录密码,一个是测试密码是否修改成功 我们可以看到low难度的源代码中,并没有添加token 且修改密码是通过get请求发送,该修改请求可以构造 即,存此存在csrf的原因为 发送修改密码的请求没有加token 后台无token验证,不能证明请求的唯一性与真实性 修改密码无旧密码验证 发送修改密码的请求数据容易被伪造 所以只要诱骗当前账户(...
代码审计csrf,ssrf
willow_liang的博客
11-12 653
CSRF (Cross -site request forgery)跨站请求伪造 csrf原理: 攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件,发私信,添加管理用户,甚 至于交易转账等。 攻击者在用户浏览网页时,利用页面元素(例如img的src),强迫受害者的浏览器向Web应用程序发送一个改变用户信息的请求。由于发生CSRF攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信 息被...
java csrf 跨域_CSRF(跨域请求伪造)
weixin_31212247的博客
02-17 652
释意:跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。你这可以这么理解CSRF攻击:攻击者盗用...
【php代码审计csrf
chualam的博客
09-08 224
php环境 <? $pass = $_POST['pass']; echo $pass; ?> <form action="" method="post"> <p>修改密码<input name="pass" type="text"></p> <input name="sub" type="submit"> </form> html payload代码 <script> function post() {
PHP代码审计CSRF 跨站请求伪造
一生无悔惜缘的博客
07-25 715
一.CSRF  是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF  可以做什么? 你这可以这么理解 CSRF 攻击: 攻击者盗用了你的身份,以你的名义发送恶意请求CSRF 能够做的事情包括:以你名义发送邮件,发消息,
php代码审计【10】CSRF代码审计
司徒荆的博客
06-27 452
CSRF代码审计
PHP代码审计———11、PHP代码审计CSRF
Fly_鹏程万里
05-16 742
CSRF是什么CSRF(Cross-Site-request-forgery),中文名:跨站请求伪造,也被称为:one click attack/session riding,缩写为CSRF、XSRFCSRF可以做什么你可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发出恶意请求CSRF能够做的事情包括:以你的名义发送邮件、发消息、盗取你的账号、甚至购买商品等等。造成的问题主要是:个人...
java审计-CSRF跨站请求伪造
admin741admin的博客
04-13 368
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造。CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。
Java -- 代码审计
tryheart的博客
09-19 713
JAVA代码审计 文件下载 检查文件处理时,是否有对路径进行强限定,因为强限定路径可以避免用户恶意构建下载文件的路径 文件上传 了解文件路径 src—源代码目录(在部署的时候不会放入到容器里) WebContent(WebApp\Web)—Web 应用,服务器部署目录,在服务器中生成当前文件同名的目录部署,表示工程根路径。如WEBDemo工程的部署,会将 WebContent改名为WEBDemo。如需要访问改目录则直接使用http://localhost:8080/WEBDemo ​ WEB-INF
第二阶段 PHP代码审计CSRF(客户端请求伪造)
qq_22132931的博客
11-24 854
PHP代码审计CSRF(客户端请求伪造)
Java代码审计常见问题
05-28
Java代码审计中常见的问题包括: 1. SQL注入:当程序没有对输入数据进行验证或过滤时,攻击者可以通过输入恶意SQL语句来执行非法的数据库操作,例如删除、修改、查询等。在Java代码审计中,需要检查程序是否正确的进行输入验证和SQL语句过滤。 2. XSS攻击:当程序没有对输出数据进行转义或过滤时,攻击者可以通过在网页中注入恶意脚本来获取用户的敏感信息或执行非法操作。在Java代码审计中,需要检查程序是否正确的进行输出数据过滤和转义。 3. CSRF攻击:当程序没有正确的进行CSRF攻击防护时,攻击者可以通过伪造用户的请求来执行非法操作,例如修改用户密码、发送恶意邮件等。在Java代码审计中,需要检查程序是否正确的进行CSRF攻击防护。 4. 权限控制:当程序没有正确的进行权限控制时,攻击者可以通过越权访问来获取敏感信息或执行非法操作。在Java代码审计中,需要检查程序是否正确的进行权限控制。 5. 密码管理:当程序没有正确的处理密码时,攻击者可以通过猜测、撞库等方式来获取用户的密码。在Java代码审计中,需要检查程序是否正确的处理密码,包括密码的存储、传输、重置等。 6. 不安全的函数调用:当程序使用不安全的函数时,攻击者可以利用这些函数来执行非法操作,例如执行任意命令、读取敏感文件等。在Java代码审计中,需要检查程序是否使用了不安全的函数调用。 7. 日志记录:当程序没有正确的记录日志时,攻击者可以利用这些漏洞来进行攻击或隐藏攻击痕迹。在Java代码审计中,需要检查程序是否正确的记录了日志。 8. 安全设置:当程序没有正确的进行安全设置时,攻击者可以利用这些漏洞来进行攻击或绕过安全控制。在Java代码审计中,需要检查程序的安全设置,确保程序的安全策略符合最佳实践。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值