CSRF跨域攻击原理浅谈

最新推荐文章于 2025-02-14 16:09:16 发布
最新推荐文章于 2025-02-14 16:09:16 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: 技术类 文章标签: csrf javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/DavidFFFFFF/article/details/107433776
版权

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

看了好多文章对csrf原理的解释,一直不明白不明白一个B网站的img标签的请求是如何挟持到A网站的cookies进行模拟跨域请求的。
直到看到一位大佬写的一篇文章,我才大体猜到了其中的原理。
不多废话,直接上核心原理:

CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的!

也就是说你只要本地浏览器cookie中保存A网站的SessionID还没有失效,不管你从你的浏览器哪个网站发出的指向A网站请求,都会挟持到cookie,这个瞬间感觉WEB的隐式身份验证机制好傻逼。

CSRF大致流程:

在这里插入图片描述
1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。

大佬举的例子也很生动:
银行转账的操作作为,假如某个银行的转账接口是下面,get请求,参数如下,toBankId是你的账号ID,money是钱数

http://www.mybank.com/Transfer.php?toBankId=11&money=1000

那么你在A网站授权登录后,再登录B网站,他就可以轻松的用一个img标签请求你A网站的接口,如下:

 <img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>

瞬间,你的账户就多了1000块钱有木有。
为什么会这样呢?原因是银行网站A违反了HTTP规范,使用GET请求更新资源。在访问危险网站B的之前,你已经登录了银行网站A,而B中的以GET的方式请求第三方资源(这里的第三方就是指银行网站了,原本这是一个合法的请求,但这里被不法分子利用了),所以你的浏览器会带上你的银行网站A的Cookie发出Get请求,去获取“http://www.mybank.com/Transfer.php?toBankId=11&money=1000”,结果银行网站服务器收到请求后,认为这是一个更新资源操作(转账操作),所以就立刻进行转账操作…

其实CSRF远比这个例子要复杂,解决方式也很多,如下:

  • 通过 referer、token 或者 验证码 来检测用户提交。
  • 尽量不要在页面的链接中暴露用户隐私信息。
  • 对于用户修改删除等操作最好都使用post 操作 。
  • 避免全站通用的cookie,严格设置cookie的域。

大佬解释的就是好,建议大家去这篇文章看下,链接

内网 —— 攻击
战神/calmness的博客
12-09 891
目录 攻击的方法 利用信任关系的攻击 信任关系 获取信息 利用信任密钥获取目标的权限 利用krbtgt 散列值获取目标的权限 外部信任和林信任 利用无约束委派 和 MS-RPRN 获取信任林权限 防范攻击 攻击的方法 都有自己的内网,一般通过林进行共享资源。根据不同职能区分 利用信任关系的攻击 信任关系 获取信息 利用信任密钥获取目标的权限 ...
同源政策/解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3339
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、名、端口号三者必须相同,只要有一处不同就属于 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
深入解析CSRF 攻击原理、危害及解决方案
最新发布
qq_39895671的博客
02-14 713
是指在浏览器中,当一个网页尝试从与其所在名不同的名请求资源时,浏览器出于安全考虑会阻止这种行为。协议:http:// 和 https://名:example.com 和 api.example.com端口:example.com:8080 和 example.com:3000由于两者名不同,因此被视为。1.2 问题的由来限制是浏览器的一种安全机制,称为 同源策略 (Same-Origin Policy),目的是防止恶意网站通过脚本访问其他网站的敏感数据。
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1845
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
聊聊原理与解决方法
顺仔的小窝
06-20 1496
背景 在最近的项目中,遇到这样一个场景:合作方开发H5页面并部署在合作方的服务器上,但页面中嵌入了我方的SDK,SDK会直接调用我方的接口,如下图: 但是控制台中却会收到如下报错: Access to XMLHttpRequest at 'http://example1.com/test' from origin 'http://example2.com' has been blocked by CORS policy: Response to preflight request doesn't pass
cors_全面刨析cors攻击原理
weixin_39746241的博客
11-28 930
htf的cors之旅 htf一直在维护一个网站,b.com。b.com中存在接口get_userinfo.php可以获取到用户的敏感信息'flag',代码如下。//http://b.com/get_userinfo.php ...
csrf攻击原理及防范
小小臭臭的博客
06-05 4672
        CSRF 全拼为 Cross Site Request Forgery, 站请求伪造.CSRF指的是攻击者盗用了你的身份,以你的名义发送恶意的请求,给你造成个人隐私泄露及财产安全.        CSRF攻击原理:        ①用户正常登录A银行网站,        ②A网站返回cookie信息给用户,浏览器保存cookie信息        ③在A网站没有退出登录的情况下...
渗透-攻击
就是法老
08-19 2263
很多大型企业都拥有自己的内网,一般通过林进行共享资源。根握不同职能区分的部门,从逻辑上以主和子进行划分,方便统一管理。在物理层,通常使用防火墙将各个子公司及各个部门划分为不同的区攻击者如果得到了某个子公司或者某个部门的控制器权限,但没有得到整个公司的内网全部权限,往往会想办法获取其他部门或者的权限。 》》》攻击方法《《《 WEB漏洞:获取权限 PTH/PTT:DC本地管理员密码可能相同 信任关系:....... 》》》攻击--信任关系《《《 信任的作用:解决多.
浅谈xss和csrf攻击
hhhhhhhssss的博客
07-18 478
文章目录前言一、XSS是什么?二、使用步骤1.引入库2.读入数据总结 前言 由于博主目前在一家主做网络安全的公司实习,之前没有意识到网络安全的严重性,现在才感受到我们的系统存在了这么多问题。下面我们一起来聊一聊最常见的两种攻击方式,xss和csrf吧! 一、XSS是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import mat
浅谈JSONP漏洞
weixin_39664643的博客
10-11 2985
浅谈JSONP漏洞 CSRF(Cross site request forgery)站请求伪造,一种挟持用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,跟XSS相比,XSS 利用的是网站对用户的信任,CSRF 利用的是网站对用户网页浏览器的信任。 提起CSRF,可能很多人都会想到修改个人资料、授权登陆等等攻击场景,可以发现这两个场景都是写入型的CSRF漏洞,通常会忽视更常见的读取型的CSRF漏洞,主流如下两种 JSONP资源读取 CORS资源读取 当持有敏感资源数据的服务器没
XSS攻击讲义
08-19
网络安全 XSS攻击 JS注入 互联网安全
浅谈前端安全
weixin_43675915的博客
06-10 7612
1 什么是前端安全? 2 前端目前存在哪些安全问题 2.1 xss站脚本攻击 xss说白了就是攻击者想尽一切的方法,将可执行的代码注入到我们的页面中,让页面进行一些非法的操作。 2.1.1 分类 xss从攻击的时间上可以分为持久型攻击和非持久型攻击。 2.1.1.1 持久型 持久型的就是指攻击者通过我们的页面,将具有攻击性的代码通过服务器保存到了数据库中,导致其他的用户在浏览当前页面时,受到了攻击。最常见的就是具有评论功能的页面。 2.1.1.2 非持久型 非持久型相比于持久型攻击危害就小的多了,一般通过
csrf的jsonp利用
07-27
- *1* *2* [浅谈CSRF读取型漏洞之JSONP劫持](https://blog.youkuaiyun.com/qq_63701832/article/details/129372608)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
CSRF
ywn0601的博客
01-12 604
了解CSRF
攻击
Java企业应用
04-30 176
今天在okajax看到一种攻击方式,有点意思,代码节选如下:   #header{height:89px;background:url("javascript:document.body.onload = function() { dosomething(); }) } 其原理是在CSS文件中通...
浅谈WEB攻击--案例
iteye_8039的博客
05-01 568
0×00 前言 一直想说说web攻击这一概念,先前积累了一些案例和经验,所以想写这么一篇文档让大家了解一下web攻击web攻击指的是利用网站安全设置缺陷进行的web攻击,有别于传统的攻击web攻击可以从网站某个不重要的业务直接攻击和影响核心业务。 传统的安全思维教会我们按资产、功能等需求划分核心业务,优先保护核心业务等,非核心业务的安全等级一般没有核心业务高,给我们...
​​​​一文彻底搞懂 同源策略 csrf攻击原理
lifan_zuishuai的博客
06-26 2311
​​​​一文彻底搞懂 同源策略 csrf攻击原理
什么是脚本攻击?
qq_45974547的博客
03-16 6693
脚本攻击又叫XSS攻击,属于客户端攻击,攻击者在我们的网页中嵌入恶意脚本,当用户使用浏览器浏览被嵌入恶意脚本的网页时,脚本就会在我们的浏览器中执行.XSS攻击的核心是脚本 XSS可以分为以下三类: 1.反射型(非持久型) 当用户访问了一个网站A,攻击者在这个网站中嵌入了恶意的脚本用于盗取客户的cookie信息. 攻击者诱导用户触发XSS攻击(诱导用户点击非法链接) 这样攻击者就获取了用户的身份信息对其进行非法的操作 2.持久型 持久型的XSS的攻击是很危险的,一旦攻击成功造成大规模XSS攻击,如XSS蠕
CSRF 攻击攻击
weixin_30535167的博客
12-30 166
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,...
CSRF 攻击 攻击原理
06-11
CSRF(Cross-Site Request Forgery)攻击又称为站请求伪造或者被动式攻击攻击者通过伪造合法用户的请求发送到Web应用程序,从而达到不正当的目的。攻击者通常需要诱导用户执行某些操作(如点击链接、访问网站等),以触发CSRF攻击CSRF攻击的工作原理攻击者构造一个恶意请求,然后诱导用户访问带有恶意请求的页面。当用户访问该页面时,浏览器会自动发送请求到Web应用程序,由于请求中包含了用户的合法身份认证信息(如cookie等),Web应用程序无法区分该请求是否是用户本人的操作,从而执行了攻击者构造的恶意请求。 例如,攻击者可以在某个社交网站上发布一条欺骗性的链接,诱导用户点击该链接。当用户点击链接后,浏览器会自动向Web应用程序发送一条请求,该请求中包含了用户的身份认证信息和攻击者构造的恶意请求。由于Web应用程序无法判断该请求是否是用户本人的操作,因此会执行该恶意请求,从而导致CSRF攻击成功。 为了防止CSRF攻击,开发者可以采取以下措施: 1. 在关键操作(如修改密码、转账等)中增加CSRF令牌验证,确保请求是由合法用户发出的。 2. 对用户输入的数据进行有效的过滤和验证,避免恶意请求被执行。 3. 不要在GET请求中执行关键操作,避免恶意链接导致的攻击风险。 4. 使用HTTPS协议加密用户的身份认证信息,避免信息被篡改或窃取。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值