CSRF漏洞解析

最新推荐文章于 2024-12-10 15:10:33 发布
最新推荐文章于 2024-12-10 15:10:33 发布
阅读量219 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Forget_liu/article/details/130128454

CSRF漏洞概述

  • CSRF漏洞测试流程
  • CSRF(get/post)实验演示和解析
  • Anti CSRF token
  • 常见CSRF防范措施

 

 1.csrf漏洞的概述

csrf的攻击场景是攻击者会伪造一个请求(一般是链接)然后欺骗用户点击,用户一但点击这个请求攻击就完成了,,通过用户的来请求(一次性攻击)

场景1

假如攻击者想改小明的网站信息但是没有小明的账号和密码,攻击者就会在网站注册账号同过自己的修改信息的url发给小明,当小明在线上当点击链接就会用小明的账户进行更改

判断漏洞csrf

csrf触发的条件

1.没有进行信息修改的请求防csrf的的处理 ,导致被伪造

2.要在用户登录的情况下,点了攻击者的链接

注意:上面的条件没有全部满足是不会被csrf攻击的

xss和csrf的区别

1.xss是直接盗取用户的权限,然后实施破坏 ,而csrf是以用户的权限进行攻击

没做任何防护,也没有token

 

把里面的值改掉发给用户进行当用户点击就会改掉用户信息

 https://192.168.145.10/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=DO&phonenum=15025645680&add=%E4%BD%A0%E5%A5%BD%E5%B8%85&email=lucy%40pikachu.com&submit=submit

csrf这种也是get请求

token防止csrf漏洞

 token的原理(随机数)

是用户去修改信息时在修改界面后台会刷一个token发个前端,直接后台也保留一个,当攻击者去仿用户的get请求时,后台就会给攻击者的发个新的token,,因为是用户登录的,使用会使用这个token和用户的token对比不对就会不成功。

学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题(有需要的话可以在评论区留言哦~)。

同时每个成长路线对应的板块都有配套的视频提供:

 

 

白帽小衫
关注
CSRF漏洞分析
记录并分享学习安全的知识点..
07-04 911
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。......
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2685
本篇总结归纳CSRF漏洞
CSRF漏洞详解
xcxhzjl的博客
11-19 3370
一、CSRF漏洞原理 1、基本原理 CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。 2、流程图 3、条件 ●用户成功登陆了网站系统,能执行授权的功能 ●目标用户访
CSRF漏洞分析和防御
1ance's blog
05-03 513
CSRF:跨站点请求伪造(Cross Site Request Forgery) **形成原因:**攻击者伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了;成功的原因是重要操作的所有参数都可以被攻击者猜测到进行伪造,因为发起一次csrf攻击需要构造一个合法的请求。 XSS和CSRF的区别: CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,并没有获取用户的权限(比如cookie)而是借助用户本身在不知情下发起攻击者伪造的
DWVA之csrf漏洞原理、防御及练习
m0_71635484的博客
03-16 569
DWVA之csrf漏洞原理、防御及练习
CSRF漏洞
Ryongao
02-20 323
本文章仅限于网络安全教学,严禁用于非法途径。若有人因此作出危害网络安全行为后果自负,与本人无关。
csrf漏洞与ssrf漏洞
lin__ying的博客
06-03 1197
跨站请求伪造(CSRF漏洞是一种Web应用程序安全漏洞,攻击者通过伪装成受信任用户的请求来执行未经授权的操作。这可能导致用户在不知情的情况下执行某些敏感操作,如更改密码、发送消息等。要防止CSRF攻击,可以使用随机生成的令牌来验证每个请求的来源和合法性。CSRF利用流程:攻击者发现CSRF漏洞-->构造代码-->发送给受害人-->受害人打开-->受害人执行代码-->完成攻击CSRF利用条件1.用到了cookie鉴权2.被攻击方鉴权未过期3.知道目标网站请求的详细信息。
CSRF漏洞分析利用及防御
weixin_34417200的博客
06-28 152
0x00 简要介绍CSRF(Cross-site request forgery)跨站请求伪造,由于目标站无 token/refer 限制,导致***者可以以用户的身份完成操作达到各种目的。根据HTTP请求方式,CSRF利用方式可分为两种0x01 GET类型的CSRF 这种类型的CSRF一般是由于程序员安全意思不强造成的。GET类型的CSRF利用非常简单,只...
CSRF漏洞详解(非常详细),零基础入门到精通,看这一篇就够了
最新发布
分享Python知识
12-10 2531
CSRF漏洞详解(非常详细),零基础入门到精通,看这一篇就够了
DVWA系列之18 CSRF漏洞分析
weixin_34174105的博客
11-15 204
下面我们来查看一下low级别的CSRF源码: 代码中在获取了$pass_new和$pass_conf这两个变量之后,利用mysql_real_escape_string()函数进行了过滤,这样虽然可以防止SQL注入,但却无法阻止CSRF攻击,之后这两个变量便被直接代入UPDATE语句中执行了数据库更新操作。 下面再来分析一下medium级别的代码: ...
CSRF漏洞超详细讲解(适合小白从0到1)
2301_81188416的博客
12-03 1442
一、认识CSRF漏洞 CSRF(Cross-Site Request Forgery)跨站请求伪造,是一种利用用户在某网站的身份认证信息,通过伪造请求来执行恶意操作的攻击方式。 二、漏洞扫描工具 三、漏洞练习靶场
csrf漏洞浅谈
qq_46041723的博客
11-13 882
csrf漏洞浅谈前言csrf漏洞介绍什么是csrfcsrf怎样实现举个例子csrf漏洞攻击原理csrf攻击产生条件csrf攻击的常见方式GET型方式POST方式csrf漏洞检测csrf漏洞的防御前端防御后端防御DVWA靶场练习csrf攻击low难度使用短链接进行格式修改构造攻击页面medium难度high难度后记 前言 菜狗本人的手终于伸向了csrf漏洞攻击记录一下 csrf漏洞介绍 什么是csrf csrf全称Cross Site Request Forgery,翻译过来就是跨站域请求伪造。是一种网络攻击
浅谈CSRF漏洞
weixin_33953384的博客
04-23 277
什么是CSRF   CSRF(Cross Site Request Forgery),中文是跨站请求伪造。一种挟制用户在当前已登录的web应用程序上执行非本意的操作的攻击方法 CSRF攻击示意图: 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:   1.登录受信任网站A,并在本地生成Cookie。   2.在不登出A的情况下,访问危险网站B。 ...
CSRF漏洞详解,一文看懂CSRF
发哥微课堂
06-12 6068
0x00:CSRF 简述 CSRF(Cross Site Request Forgery,跨站请求伪造),字面理解意思就是在别的站点伪造了一个请求。专业术语来说就是在受害者访问一个网站时,其 Cookie 还没有过期的情况下,攻击者伪造一个链接地址发送受害者并欺骗让其点击,从而形成 CSRF 攻击。 0x01:CSRF 案例 受害者 (A) 登录了某个银行给朋友 (B) 转账,其转账操作发送...
CSRF | CSRF 漏洞介绍
Blue17 の 小窝
10-05 2206
CSRF(Cross-Site request forgery,跨站请求伪造)也被称为 One Click Attack 或者 Session Riding,通常缩写为 CSRF 或者 XSRF(XSS + CSRF),是一种通过挟持用户在当前已登录的 Web 应用程序上执行非本意操作的攻击方法。利用用户对指定站点的信任发起攻击,盗取用户权限或进行恶意操作。利用站点对用户(浏览器)的信任,伪装成受信用户请求站点,并进行操作。(攻击者并没有拿到用户权限)
深度解析CSRF漏洞原理与防御策略
CSRF漏洞,全称为Cross-Site Request Forgery,是一种常见的Web安全问题,常常被列入OWASP十大最严重安全漏洞之列。它与XSS和SQL注入并列为网络安全三大主要威胁。尽管CSRF的关注度相对较低,但它潜在的危害不容忽视...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值