csrf和ssrf漏洞的原理是?如何防御和利用csrf和ssrf漏洞

最新推荐文章于 2025-09-26 16:25:51 发布
原创 最新推荐文章于 2025-09-26 16:25:51 发布 · 1.1k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

CSRF是一种依赖浏览器的代理人攻击,防御包括验证token、Referer和自定义header。SSRF利用服务端获取数据功能攻击内部系统,防御措施包括过滤返回信息、统一错误信息、限制请求端口、禁止不常用协议和使用DNS白名单。CSRF与XSS不同,CSRF伪装受信任用户请求,更难防范。
部署运行你感兴趣的模型镜像

Csrf原理:

CSRF是一种依赖web浏览器的、被混淆过的代理人攻击

防御csrf漏洞:

验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header

Ssrf漏洞原理:

很多web应用都提供了从其他的服务器上获取数据的功能。使用指定的URL,web应用便可以获取图片,下载文件,读取文件内容等。SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般情况下, SSRF攻击的目标是外网无法访问的内部系统,黑客可以利用SSRF漏洞获取内部系统的一些信息(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。

Ssrf漏洞防御:

1、过滤返回的信息,如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。

2、统一错误信息,避免用户可以根据错误信息来判断远程服务器的端口状态。

3、限制请求的端口,比如80,443,8080,8090。

4、禁止不常用的协议,仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp://等引起的问题。

5、使用DNS缓存或者Host白名单的方式。
4、xxs漏洞和csrf漏洞有什么区别?

XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

您可能感兴趣的与本文相关的镜像

PyTorch 2.6

PyTorch 2.6

PyTorch
Cuda

PyTorch 是一个开源的 Python 机器学习库,基于 Torch 库,底层由 C++ 实现,应用于人工智能领域,如计算机视觉和自然语言处理

DXfighting_
关注
XSS、CSRFSSRF漏洞的攻击原理以及防御
qq_57307348的博客
02-24 1474
XSS xss:跨站脚本攻击,不需要做任何的登录认证,通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本程序或者攻击者在Web页面里插入恶意script代码,当用户浏览该页之时,嵌入Web里面的script代码会被执行,从而达到恶意攻击用户的目的。 攻击条件 向web页面注入恶意代码 这些恶意代码能够被浏览器成功的执行 攻击原理 xss漏洞的主要原因是程序对输入输出的控制不够严格,导致“精心构造”的脚本输入后, 在输到前端时被浏览器当作有效...
csrf&ssrf漏洞详解
weixin_56714714的博客
07-25 1624
CSRF 什么是CSRF? 跨站请求伪造也叫CSRF/XSRF 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 CSRF攻击的危害 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求 CSRF危害:以你的名义发送邮件,发
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)从零基础入门到精通,收藏这一篇就够了!
最新发布
ewii12567的博客
09-26 1355
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账购买商品))。
浅谈CSRFSSRF
xdjxi的博客
03-28 4683
CSRF(跨站请求伪造) CSRF原理 1.有一个漏洞存在(无需验证、任意修改后台数据、新增请求); 2.伪装数据操作请求的恶意链接或者页面; 3.诱使用户主动访问或登录恶意链接,触发非法操作; 产生的条件 1.需要目标站点或系统存在一个可以进行数据修改或者新增操作,此操作被提交后台后的过程中,其未提供任何身份识别或校验的参数 2.后台只要收到请求,就立即下发数据修改或新增的操作 漏洞的危害 1.用户密码的修改 2.购物地址的修改 3.后台管理账户的新增 防御方法 1.验证 HTT
CSRFSSRF原理、区别、防御方法
2301_76786857的博客
12-26 3015
它是一种利用用户在已登录的网站中提交非法请求的行为,攻击者通过伪造用户提交的请求,将恶意请求发送至受信任的网站,导致用户在不知情的情况下执行恶意操作。两者区别:CSRF是用户端发起请求,攻击者利用用户的Cookie信息伪造用户请求发送至服务器;而SSRF是服务端发起的请求,攻击者通过构造指定URL地址获取网页文本内容、加载指定地址的图片、下载等方式,利用存在缺陷的Web应用作为代理攻击远程本地的服务器。5.限制请求的端口为http常用的端口,例如80、443、8080、8090等;
laravel HTTP路由实例教程(三)—— CSRF攻击原理及其防护
juner_ge的专栏
06-27 2630
1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。关于CSRF攻击原理及其防护,可查看Github上的这个项目:理解CSRF,说得比较详细透彻。 2、Laravel中如何避免CSRF攻击 Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证
网络安全笔记 -- CSRF漏洞SSRF漏洞
swy66的博客
09-10 2847
CSRF漏洞SSRF漏洞
csrf漏洞ssrf漏洞
lin__ying的博客
06-03 1276
跨站请求伪造(CSRF漏洞是一种Web应用程序安全漏洞,攻击者通过伪装成受信任用户的请求来执行未经授权的操作。这可能导致用户在不知情的情况下执行某些敏感操作,如更改密码、发送消息等。要防止CSRF攻击,可以使用随机生成的令牌来验证每个请求的来源合法性。CSRF利用流程:攻击者发现CSRF漏洞-->构造代码-->发送给受害人-->受害人打开-->受害人执行代码-->完成攻击CSRF利用条件1.用到了cookie鉴权2.被攻击方鉴权未过期3.知道目标网站请求的详细信息。
CSRFSSRF漏洞
个人学习参考
03-09 1177
本篇文章仅作为本人学习笔记CSRF:跨站请求伪造 (Cross-Site Request Forgery, CSRF),也被称为 One Click Attack 或者 Session Riding ,通常缩写为 CSRF,是一种对网站的恶意利用。尽管听起来像 XSS,但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站。
csrfssrf漏洞原理
03-24
CSRF漏洞原理 CSRF(跨站请求伪造)是一种欺骗性的攻击方式,其核心在于让受害者在不知情的情况下执行某些操作。这种攻击通常发生在用户已经登录某个网站并保持会话状态时。攻击者通过诱导用户访问恶意页面,在该...
SSRF攻击原理
whyrookie的博客
06-10 585
什么是SSRF 一个对外的Web接口,改接口能让用户控制curl命令,去访问别的web服务。 简图如下 想象一下当用户请求的baidu.com/x.php?image=google.com/1.jpg 改成 baidu.com/x.php?image=private.com/php.info,是不是觉得原本不可能访问到内网的主机,现在就很容易就能做到了。 原理 PHP代码演示: $url = $_GET['URL']; curl($url); function curl($url){ $...
CSRFSSRF详解
mr_yuyou的博客
10-12 2796
CSRFSSRF详解: CSRF是什么: CSRF跨站点请求伪造(Cross-Site Request Forgery),在手段上与XSS漏洞相似,通过盗取被攻击者的身份,以用攻击者的身份去访问服务器,进行操作 CSRF攻击原理: 被攻击者打开浏览器,访问网站A,输入用户名密码,发送请求,服务器接收请求,返回响应,其中包含用户的cookie信息。 被攻击者在网站A cookie的有效期内,访问攻击者搭建的网站,被攻击者的网站含有恶意代码,因为浏览器含有网站A的Cookie,所以攻击者可以通过自己搭建的
CSRF攻击与防御
茂盛博客
08-01 262
深入理解CSRFSSRF攻击原理防御措施
m0_71332744的博客
07-29 932
本文将详细介绍CSRF(跨站请求伪造)SSRF(服务器端请求伪造)的攻击原理,并通过实例分析如何进行攻击,最后探讨有效的防御措施。一、CSRF攻击原理及实例 CSRF简介 CSRF(Cross-Site Request Forgery),即跨站请求伪造,是一种常见的网络攻击手段。攻击者利用已登录用户的cookie,在用户不知情的情况下,伪造请求执行特定操作。 CSRF攻击实例 (1)GET类型攻击 首先,我们通过抓包获取到以下请求: GET /pikachu/vul/csrf/csrfget/cs
XSS、CSRFSSRF漏洞原理以及防御方式
Love_Naive的博客
09-03 5862
这里写目录标题XSSXSS攻击原理:XSS的防范措施主要有三个:编码、过滤、校正CSRFCSRF攻击攻击原理及过程如下:CSRF攻击的防范措施:SSRFSSRF漏洞攻击原理以及方式SSRF漏洞攻击的防范措施XMLXSS、CSRFSSRF的区别XSS、CSRF的区别 XSS XSS(Cross Site Scripting):跨域脚本攻击。 XSS攻击原理: 不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 X
CSRFSSRF原理防御
2301_77315080的博客
09-06 606
跨站请求伪造(英语: Cross-site request forgery),也被称为one- click attack或者sessionriding,通常缩写为CSRF或者XSRF;是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
csrf攻击原理及防备
onmyways的博客
12-13 608
1,csrf(cross-site request forgery),跨站点伪造请求; 是 受害者用户 登录访问 可信任网站A,在没有退出的情况下,又访问量 不可信任恶意网站B,网站B盗用用户身份,发出恶意请求; 站外本质:提交服务器外部数据问题; 站内本质:服务器内部代码 接收数据漏洞,如滥用$_REQUEST等变量,是提交的get页面 2,csrf攻击分类 a,站内 站外
CSRFSSRF
samli的博客
03-12 840
CSRF漏洞简介 CSRF(Cross-site request forgery,跨站请求伪造),是指利用受害者尚未失效的身份认证信息( cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直...
XSS、CSRFSSRF漏洞原理以及防御方式_xss csrf ssrf
VN520的博客
03-25 1948
XSS(Cross Site Scripting):跨域脚本攻击。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值