WEB安全(八)什么是CSRF攻击?为什么说Token可以防止CSRF攻击?

CSRF攻击原理及Token防攻击解析
原创 已于 2022-02-17 21:55:52 修改 · 7.3k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #csrf #安全

于 2022-02-14 20:23:58 首次发布

CSRF攻击概述

**CSRF(Cross Site Request Forgery)**是 跨站请求伪造

Cookie 有一个过期时间,在这段时间内,Cookie 是存储在客户端的,当再次访问相同的网站时,浏览器会自动在 HTTP 请求中自动带上该网站用户登录后的 Cookie

CSRF 攻击也正是利用这点,借用用户的 Cookie,去执行非用户本意的操作。

举个例子:

小明登录了某网上银行,他来到了网上银行的帖子区,看到一个帖子下面有一个链接写着“科学理财,年盈利率过万”,小壮好奇的点开了这个链接,结果发现自己的账户少了 10000 元。这是这么回事呢?原来黑客在链接中藏了一个请求,这个请求直接利用小明的身份给银行发送了一个转账请求,也就是通过你的 Cookie 向银行发出请求。

<a src=http://www.mybank.com/Transfer?bankId=11&money=10000>科学理财,年盈利率过万</>

所以单纯的使用Cookie,会受到CSRF攻击。

那为什么说Token可以防止CSRF攻击呢?

token 验证的规则是,服务器从请求体(POST)或者请求参数(GET)中获取设置的 token,然后和 Cookie 中的 token 进行比较,一致之后才执行请求。

而 CSRF 攻击只是借用了 Cookie,并不能获取 Cookie 中的信息,所以不能获取 Cookie 中的 token,也就不能在发送请求时在 POST 或者 GET 中设置 token,把请求发送到服务器端时,token 验证不通过,也就不会处理请求了。

所以,token 可以防止 CSRF 攻击。

CSRF防护策略

CSRF通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对CSRF的防护能

最低0.47元/天 解锁文章
网络安全基于CSRF攻击原理与防护机制的Web应用安全策略:金融及社交场景下用户身份盗用防范
09-03
内容概要:本文详细解析了CSRF(跨站请求伪造)攻击的原理、流程、常见场景及其与其他安全漏洞的区别,并系统介绍了检测与防范CSRF攻击的方法。文章首先解释CSRF攻击者利用用户已登录的身份,在用户不知情的情况下...
如何防止CSRF攻击?
ccyzq的博客
03-17 4703
文章目录一、什么是CSRF?二、CSRF的几种类型1、GET类型的CSRF2、POST类型的CSRF3、链接类型的CSRF三、CSRF的特点四、防护策略1、同源检测如何阻止外域请求无法确认来源域名情况2、CSRF Token原理1)将CSRF Token输出到页面中2)页面提交的请求携带这个Token3)服务器验证Token是否正确下面将以Java为例,介绍一些CSRF Token的服务端校验逻辑,代码如下:3、分布式校验总结双重Cookie验证总结Samesite Cookie属性我们应该如何使用Same
【网络安全CSRF同样能携带缓存中的Token,那怎么实现的防CSRF
嗨Sirius
03-15 500
Token原理和作用 ①:token和cookie一样都是首次登陆时,由服务器下发,都是当交互时进行验证的功能,作用都是为无状态的HTTP提供的持久机制。 ②:token存在哪儿都行,localstorage或者cookie。 ③:token和cookie举例,token就是你告诉我你是谁就可以。 cookie 举例:服务员看你的身份证,给你一个编号,以后,进行任何操作,都出示编号后服务员去看查你是谁。 token 举例:直接给服务员看自己身份证 ④:对于token而言,服务器不需要去查看你是谁,不需要
通信安全//为什么 token可以防止 csrf?
weixin_37877794的博客
07-27 2525
参考 Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 所以CSRF本质原因是“重要操作的所有参数都是可以被攻击者猜测到的”,Token加密后通过Cookie储存,只有同源页面可以读取,把Token作为重要操作的参数,CSRF无法获取Token放在参数中,也无法仿造出正确的Token,就被防止掉了。
为什么token能够防止CSRF(修正版)
热门推荐
qq_45888932的博客
04-06 1万+
记录使用token的一些问题,修正版,更改CSRF之前的错误理解和添加解决CSRF的措施
为什么 token可以防止 csrf?
weixin_38655450的博客
06-18 740
Token被用户端放在Cookie中(不设置HttpOnly),同源页面每次发请求都在请求头或者参数中加入Cookie中读取的Token来完成验证。CSRF只能通过浏览器自己带上Cookie,不能操作Cookie来获取到Token并加到http请求的参数中。 ...
token为什么防止csrf_非常好的一片文章:CSRF
weixin_39861882的博客
12-03 1286
关于跨域与 csrf 的那些小事​juejin.im关于跨域与 csrf 的那些小事前言 在这段时间,部门前辈分享了不少干货。我学到了不少内容,并对其进行简单整理,以便更好地转化为自己的知识。知识探讨部分关于跨域产生协议,域名,端口三者其中存在不同都会形成跨域;故,当协议,端口,域名三者均相同时,浏览器就会认为是同源,允许加载该资源,否则为不同源。跨域存在原因:浏览器的同源限制策略请求:客户端(...
token为什么防止csrf_「Burpsuite练兵场」CSRF(二)
weixin_39770821的博客
12-10 779
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于CSRF的内容介绍,感兴趣的小伙伴千万别错过了呦!上期回顾「Burpsuite练兵场」CSRF()实验一:Token关联到非会话cookie实验提示:应用程序 email change模块存在CSRF漏洞,启用了token防护,但是并未将csrf令牌防护整合到会话管理中。实验要求:构造CSRF利用代码并上传到exploit serv...
什么是 CSRF?如何防止 CSRF 攻击
公众号:该用户快成仙了
07-27 1982
CSRF,全称 Cross-Site Request Forgery,中文翻译为跨站请求伪造,它是一种网络安全漏洞,攻击者通过伪造用户的请求,利用用户在已登录的情况下的身份验证信息,向服务器发送恶意请求,从而执行未经用户授权的操作。CSRF攻击通常发生在用户已经登录了某个网站的情况下,攻击者在用户不知情的情况下利用用户的身份信息发送恶意请求,导致服务器误以为是用户发送的合法请求。用户登录到一个网站,并且被骗点击了攻击者构建的另一个网站链接,这代表了 CSRF 的“跨站点”部分。
什么是CSRF攻击
weixin_40851188的博客
05-01 1793
什么是 CSRF 攻击CSRF 概念:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利 用。 尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户的...
TOKEN验证防止CSRF攻击的原理
weixin_34362991的博客
11-29 4286
CSRF中文名是跨站请求伪造攻击,黑客可以通过CSRF攻击来伪造我们的身份,从而进行不法的活动。比如是以我们的身份进行转账,发送邮件等操作。要想做到预防CSRF攻击,首先需要了解CSRF攻击的原理,只有这样才可以真正的掌握预防的手段。CSRF攻击的原理是这样的:(1):当我们登陆某个网站以后,因为HTTP协议是无状态的,所以为了保存我们的登陆状态,服务器中的程序就必须创建一个session文件,...
token为什么防止csrf_CSRF漏洞探讨
weixin_39753211的博客
11-29 1981
今天和大家聊聊CSRF(Cross—Site Request Forgery)跨站点请求伪造背景:节后上班的第一天,无心工作,还被告知今天的文章还没有发,心塞。又被告知负责的某个产品下某个页面存在一个跨站请求伪造漏洞,该漏洞会导致攻击者可以恶意通过浏览器盗用用户身份信息发送一些恶意请求,可能会存在盗号风险,心更塞。惨痛的教训总结最深刻的经验,这波经验无私奉献给你们。一、CSRF原理什么是...
token为什么防止csrf_渗透技巧之CSRF
weixin_39847034的博客
12-10 450
CSRF即跨站请求伪造,的简单点,实际上就是攻击者伪造一个表单数据的URL链接,让用户去点击,从而达到我们获取数据的目的,当然,不止是获取数据,修改我们想要的密码、新增个管理员账户、上传个木马等,能达到我们的攻击目的就行。 在我做渗透测试工作的时候,通常探测CSRF漏洞也很简单,也算是个小技巧吧。抓取一个网站的POST请求,删除Referer字段(无Origin字段,有...
为什么token防止csrf攻击
u011982711的博客
02-07 1812
用户登录了A网站,此时A网站与用户建立session,在浏览器上setCookie,JSESSIONID=cb4f911c-39d9-4f2a-b762-3a07396722fa; NG_TRANSLATE_LANG_KEY=%22en%22; 用户访问B网站,B网站有个诱导href=“www.A.com?delete",用户点击了,因为用户当前已经登陆了A网站,所以用户被诱导删除了。原因是浏览器区访问A网站时,A网站是通过request获取cookie,从而获取sessionid,获得了用户的登录状态,
cookies为什么会有csrf风险,为什么token可以避免
qq_44705614的博客
03-16 984
如果使用token,因为token可以不放在cookie里面,在发送请求时经过前端程序处理才可以把token放到请求参数中,所以在直接请求伪造的地址时,浏览器会自动让请求携带cookie,但是没经过前端的操作,请求不会携带token,服务器没有验证token,就会拦截不服务。当浏览器发送请求且浏览器存在 Cookie 且同源不跨域时,浏览器会自动在请求头携带上 Cookie 数据。所以浏览器对csrf背锅,即利用的是网站对用户网页浏览器的信任。CSRF 利用的是网站对用户网页浏览器的信任。
为什么token能防范CSRF攻击、cookie是同源的
qq_36582776的博客
03-19 1188
CSRF是用户登录安全A网站后,点击危险B网站,危险B利用A中的cookie(不是获取,只是利用登录的状态)替代用户进行危险操作。 token验证是需要将token放到请求头或者请求体里,发送给服务器进行验证。 而token虽然是存储于cookie中的,但是危险B无法获取和解析cookie也就拿不到token,就无法冒用用户身份。 cookie是同源的,而打开简书的两个页面是同源的,所以这两个页面的源相同、cookie同。 查看cookie:cookie有哪些内容? 以键值对形式存储,包括
为什么Cookie无法防止CSRF攻击token可以
qq_46130027的博客
04-05 1100
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种利用用户当前已登录身份对网站进行非法操作的攻击方式。攻击者诱导受害者在登录状态下访问一个恶意链接,从而在用户毫不知情的情况下,以用户的身份向目标网站发起请求,执行如转账、修改资料、发帖等敏感操作。
token 为什么可以防止CSRF 攻击
qq_40929531的博客
12-03 2522
token 是被开发者发送给后端的,攻击者如果无法获取到token 是无法通过后端服务器的校验的 但是cookie 不同,只要在同一个浏览器,浏览器就会自动将cookie 放入请求头中,如果用cookie 做登录验证,例如: 小明登录了csdn, 此时小明突然想到了一件事情,登录了另一个网站,而这个网站被不知名的人埋入了一些请求,这些请求是当其他人进入该网站,则请求csdn 友好的帮助访问者发布一篇文章, 假如csdn 使用的是cookie做登录判断,小明访问该网站时触发了该请求,浏览器会自动将coo
token为什么防止csrf_寻找CSRF漏洞的技巧
weixin_39688687的博客
12-05 247
CSRF即跨站请求伪造,的简单点,实际上就是攻击者伪造一个表单数据的URL链接,让用户去点击,从而达到我们获取数据的目的,当然,不止是获取数据,修改我们想要的密码、新增个管理员账户、上传个木马等,能达到我们的攻击目的就行。 在我做渗透测试工作的时候,通常探测CSRF漏洞也很简单,也算是个小技巧吧。抓取一个网站的POST请求,删除Referer字段(无Origin字段,有就删),进行重放即可,如...
什么是 CSRF 攻击?XSS 攻击?如何防范?
最新发布
11-26
CSRF攻击,即跨站请求伪造(英语:Cross - site request forgery),也被称为one - click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者诱导受害者进入第三方网站,在第三方网站中向被攻击网站发送跨站请求,利用受害者在被攻击网站已获取的注册凭证,绕过后台的用户验证,冒充用户对被攻击网站执行某项操作[^3]。 XSS攻击,即跨站脚本(Cross - site scripting),是内容没有过滤导致浏览器将攻击者的输入当代码执行,本质上是代码注入问题[^3]。 CSRF攻击的防范方法如下: - 验证码:强制用户必须与应用进行交互才能完成最终请求,能很好地遏制CSRF,但用户体验较差[^3]。 - Referer check:进行请求来源限制,此方法成本最低,但不能保证100%有效,因为服务器并非总能取到Referer,且低版本浏览器存在伪造Referer的风险[^3]。 - token:在HTTP请求中以参数形式加入随机产生的token,并在服务器端建立拦截器验证该token,若请求中无tokentoken内容不正确,则可能是CSRF攻击,拒绝该请求。不过若网站同时存在XSS漏洞,该方法可能失效[^3][5]。 XSS攻击的防范可从内容过滤入手,避免浏览器将攻击者输入当作代码执行。例如使用内容安全策略(CSP),限制页面可以加载哪些资源,防止恶意脚本注入;对用户输入进行严格的验证和过滤,对输出进行编码处理等。虽然文档中未详细提及XSS防范的具体内容,但在实际应用中这些是常见的防范手段。 ```python # 示例代码展示简单的输入过滤 def filter_input(input_str): # 简单过滤可能的脚本标签 filtered = input_str.replace('<script>', '').replace('</script>', '') return filtered user_input = "<script>alert('XSS')</script>" safe_input = filter_input(user_input) print(safe_input) ```
评论 8
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值