你的钱为什么被转走,这篇文章告诉你答案(CSRF详解)

最新推荐文章于 2024-12-11 17:57:27 发布
原创 最新推荐文章于 2024-12-11 17:57:27 发布 · 1w 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析了CSRF(跨站请求伪造)攻击原理,通过实例展示了如何利用此漏洞非法转账,同时提供了三种防御策略,包括验证码、RefererCheck和动态Token。

这段时间很多文章标题都是面试官,所以跟个风,这篇文章也以面试官开头,主要内容是关于CSRF。全称叫做Cross-site request forgery,中文全称叫做跨站请求伪造。

一、CSRF是什么?

刚刚已经说了,全称叫做夸张请求伪造,很明显就是和安全有关的一个知识点,意思是攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。

举个例子来解释,你去某网买东西,输入了用户名密码,攻击者在另外一个页面重新使用了你的用户名密码。比如发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账。

所以说危害那是相当严重,我们使用一张图来表示一下这个过程吧。

在这里插入图片描述
至于能不能经得起诱惑,就看个人了。有时候我们点击了某一个链接但是没有执行任何操作,银行卡的钱却不见了,你知道这是为什么吗?我们可以模拟一下这个过程。

二、你的钱为什么会不见了

其实这个步骤和刚刚那个图是一样的。现在有张三和李四进行转账。

1、张三给李四100块,执行的操作是:

xxx/transfer.php?from=张三&money=100&to=李四

**注意此时的张三没有把页面关闭掉。**这里的前缀我没有写,因为文章审核通过不了。

2、黑客想把钱转给自己,执行的操作是:

xxx/transfer.php?from=张三&money=100&to=黑客

很明显会失败,这是因为张三在登录系统的时候会通过cookie,把自己的session传递给后台服务器。此时系统检查当前的session中的身份,发现不正确就拒绝了。

3、黑客继续想办法,使用不良网站诱导:

网站的连接很有颜色感,让张三欲罢不能,于是点击了诱导链接A。此时返回给黑客的信息就是:

<html>
	<body>
		<form method="get" action="xxx/java">  
			<input type="hidden" name="from" value="张三">   
			<input type="hidden" name="money" value="100">  
			<input type="hidden" name="to" value="黑客">   
			<input type="button" οnclick="submit()" value="来呀,快活呀">
		</form>
	</body>
</html>

如果此时张三刚刚给李四转完钱,并且页面还没关闭,就点击了这个链接,那么就会执行上面的操作。这是因为此时的黑客身份就是张三的信息,银行不知道因为是张三,于是接受了请求。

三、如何防范

1、验证码

这个道理很简单,也是目前使用最广泛的一种方式。验证码则强制用户必须与应用进行交互,才能完成最终请求。但该方式用户体验较差;

2、Referer Check防盗链

可以检测请求是否来自合法的源,如果请求不是来自合法源,则很可能发生了CSRF攻击,但服务器并不能在任何时候都能获取到Referer;

3、Token

使用动态的Token。使用真随机数或者经过密钥加密的字符串作为token值,使用方式可参考重放攻击防御中的token,该防御方式需要注意token的完全随机和有效期,一个经常无规则变动的token值往往是无法破解的。

具体的更加详细的就不说了。这个是面试中很常问的一个面试点。

在这里插入图片描述

asp html表单没有csrf保护,CSRF在ASP.NET Core中的处理方法详解
weixin_36337756的博客
06-28 903
前言前几天,有个朋友问我关于AntiForgeryToken问题,由于对这一块的理解也并不深入,所以就去研究了一番,梳理了一下。在梳理之前,还需要简单了解一下背景知识。AntiForgeryToken 可以说是处理/预防CSRF的一种处理方案。那么什么是CSRF呢?CSRF(Cross-site request forgery)是跨站请求伪造,也被称为One Click Attack或者Sessi...
HTTP 请求走私漏洞详解
江左盟的博客
07-08 4659
超详细的HTTP请求走私漏洞教程,看完还不会你来找我。
你的为什么会被转走,这篇文章告诉答案
蚁景网安学院
10-22 888
篇文章内容,主要是关于CSRF。 01 什么是CSRFCSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 CSRF攻击原理如下: 用户打开浏览器,访问登陆受信任的A网站 在用户信息通过验证后,服务器会返回...
误点链接转账是怎么回事
weixin_39934009的博客
06-22 647
误点链接转账
Spring4.2.9+mybatis3.4.4集成(整合Jackson、防御XSS版)支持JDK1.6、Tomcat6
05-12
如果您基于Java6(JDK1.6)开发项目,这应该是目前最新的版本了。
系统安全--csrf攻击、为关键cookie设置httpOnly属性(防止xss攻击)安全问题
wuqinghua_1016的专栏
10-12 8007
为关键cookie设置httpOnly属性 首先,设置了HttpOnly属性的cookie变量无法被js获取,而XSS就是在别人的应用程序中恶意执行一段JS以窃取用户的cookie,所以为关键Cookie设置HttpOnly属性可以有效防止XSS攻击(Cross Site Scripting  跨站脚本攻击)。 但实际中有很多Cookie需要给前端JS使用,因此一般的安全问题只需要关注关键Co...
常见安全漏洞及整改建议
sjh_c513的专栏
12-09 4704
1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买
Java面试不通过?这篇文章你看了吗?
热门推荐
程序羊的博客
08-06 5万+
Java面试题千千万,个人觉得没有最好的答案,只有最适合的答案;本文的宗旨是为读者朋友们整理一份详细而又权威的面试清单。 此文是前段时间本人根据部分文章汇总压在草稿箱(由于时间关系,忘了加上对应的原创链接,如有侵权,请联系本人删除,本人单纯秉着知识乐于分享的精神),今天发现在草稿箱,特发出来给大家,仅供参考。 注:本人才疏学浅,知识还在积累中,不能保证每个回答都满足各种等级的高手们,(由于一些技术的升级,部分答案不能保证实时同步准确,还请大家在阅读的时候多多留意)若发现有问题的话,请评论指出。.......
运维转行开发指南(非常详细)零基础入门到精通,收藏这一篇就够了
A1_3_9_7的博客
12-11 864
IT运维工程师分很多种。如果是做基础底层的硬件设施,空调,ups等维护,强弱电布线,运维,设备搬迁实施,那你这个待遇估计天花板了。但是你做到中级的运维,负责一些软件系统,网络的维护和一些技术支持,一些网络设备,服务器,存储设备的基础维护,那你考个认证可以力争过五位数。
2021前端面经-看这篇就够了(笔者靠这个拿到阿里和字节的offer)
爱前端也爱恋爱
04-30 2171
面试题梳理 梳理前端常见面试题及答案。 一、web 前端性能优化 性能评级工具(PageSpeed 或 YSlow) css CSS优化、提高性能的方法有哪些 多个css合并,尽量减少HTTP请求 将css文件放在页面最上面 移除空的css规则 避免使用CSS表达式 选择器优化嵌套,尽量避免层级过深 充分利用css继承属性,减少代码量 抽象提取公共样式,减少代码量 属性值为0时,不加单位 属性值为小
JS的33个概念—前端安全(跨站脚本攻击XSS和跨站请求伪造CSRF
jiaojsun的博客
07-26 1334
1.跨站脚本攻击(XSS) 1)定义 跨站脚本攻击是基于web应用中已知的漏洞,服务端,或者依赖的插件系统。利用其中一种方式,攻击者可以把恶意内容放进目标站点传输的内容中。当这种结合的内容到达客户端的浏览器中,它就已经变成从受信任的来源传输的,然后在系统授权下进行操作。通过寻找把恶意脚本注入web页面的方法,攻击者可以获取对敏感页面的访问权限,例如对session cookie和浏览器代表用...
最全面、最详细web前端面试题及答案总结
HanXiaoXi_yeal的博客
02-01 3万+
2021最全面、最详细web前端面试题及答案总结 总结不易,希望可以帮助到即将面试或还在学习中的web前端小伙伴,祝面试顺利,拿高薪! 本章是HTML考点的⾮重难点,因此我们采⽤简略回答的⽅式进⾏撰写,所以不会有太多详细的解释。我们约定,每个问题后我们标记『✨ 』的为⾼频⾯试题 doctype的作⽤是什么?✨ DOCTYPE是html5标准⽹⻚声明,且必须声明在HTML⽂档的第⼀⾏。来告知浏览器的解析器⽤什么⽂档标准解析这个 ⽂档,不同的渲染模式会影响到浏览器对于 CSS 代码甚⾄ JavaScript
黑客究竟用什么姿势偷走了你的
weixin_34174105的博客
07-03 228
分享嘉宾:宋宇昊,毕业于上海交通大学信息安全学院,碁震(KEEN)的联合创始人,现担任技术总监、高级研究员,曾任职于微软(中国)安全响应中心,并于2010年获得微软中国突出贡献奖。目前关注Android相关和智能设备领域的安全研究,同时致力于打造 GeekPwn 平台,向广大白帽子们征集智能设备漏洞,并且展现给大众。   【KEEN 联合创始人 宋宇昊】...
HTML form without CSRF protection,HTML表单没有CSRF保护
收集盒 Book box
07-18 6923
HTML form without CSRF protection =HTML表单没有CSRF保护  CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台
高薪必备:如何实现带有过期时间的LRU?(java版)
冯冬冬的博客
05-14 1万+
在很早之前学操作系统的时候见过这个算法,后来见到的越来越多,以至于刷面经的时候也看到了,总结一下: 一、什么是LRU LRU全称是Least Recently Used,即最近最久未使用的意思。也就是说:如果一个数据在最近一段时间没有被使用,将来被使用的机会也比较小。 通常的使用场景就是缓存,比如说操作系统中的页面置换算法。实现的方案有很多,我看了很多博客,大多是给了四五种。这里为了简洁,只给出一种,是带有过期时间的。其他的实现类似,就交给聪明的你吧!! 解决方案:利用链表加HashMap 每次来一个新数
记一次java中三元表达式的坑(避免踩坑)
冯冬冬的博客
04-14 1万+
近期一直在刷算法,原创文章写的也比较少,今天的主题不算是一个很大的问题,是我做题的时候出来的,而且还曾在A厂的公众号上看到过,今天自己整理一下,避免大家入坑。 这个问题是三元表达式会在计算的时候出现拆箱的运算,造成空指针异常。 一、问题重现 public class Test { public static void main(String[] args) { Integer a = nul...
为什么推荐使用try-with-resources代替try-finally
冯冬冬的博客
12-21 1万+
篇文章是我近期看了《Effective java》一书中总结的,来自其中第九条。为了对其理解的更加透彻,因此重新分析了一下,并加入了一些其他点。 本文的所有例子均在本地代码运行完毕 基于JDK版本1.8,运行环境eclipse 本文类名:TryWithResources,下文的堆栈信息也以此为基础 在java开发中,一些网络链接或者是文件资源都需要程序员去手动调用close方法关闭,比如InputStream、OutputStream和java.sql.Connection。如果忘关了就可能造成严重的
Java程序员必须要知道的单元测试框架Junit详解
冯冬冬的博客
10-14 556
作为一名java开发者,相信你或多或少的接触过单元测试,对于测试来讲它是一门能够区分专业开发人员与业余开发人员的重要学科,这篇文章将对java中最常见的一个单元测试框架junit进行一个梳理和讲解。如果你之前没接触过,那么就通过这篇文章进行一个学习。如果你是一个测试老手,我也希望这篇文章能够加深你的印象。 一、为什么需要单元测试 在平时的开发当中,一个项目往往包含了大量的方法,可能有成千上万个。如...
CSRF详解
最新发布
08-13
### CSRF 详解 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络攻击手段,攻击者通过诱导用户点击恶意链接或访问恶意网站,利用用户在目标网站上的身份认证信息,伪造请求执行未经授权的操作。这种攻击方式通常针对需要用户身份验证的网站功能,例如银行转账、修改密码或删除数据等操作。 ### 工作原理 CSRF 攻击的核心在于利用浏览器在发送请求时自动携带的 Cookie 信息。当用户登录某个网站后,浏览器会存储该网站的 Cookie,而 Cookie 通常包含用户的身份验证信息。攻击者通过诱导用户访问一个恶意网站或点击恶意链接,触发浏览器向目标网站发送请求。由于请求中包含了用户的 Cookie,目标网站会误认为该请求是由用户主动发起的,从而执行恶意操作 [^4]。 例如,假设用户登录了一个银行网站并保持登录状态,攻击者可以通过诱导用户访问一个包含 `<img src="https://bank.com/transfer?to=attacker&amount=1000">` 的恶意页面,从而触发一次转账请求。尽管用户并未主动点击转账按钮,但由于浏览器会自动发送包含 Cookie 的请求,转账操作可能会被成功执行 [^1]。 ### 防御方法 为了有效防御 CSRF 攻击,可以采取以下几种策略: 1. **使用 CSRF Token** 在每个敏感操作的请求中加入一个随机生成的 Token,服务器在处理请求时验证该 Token 的有效性。由于攻击者无法获取该 Token,因此无法伪造合法的请求。 2. **检查 HTTP Referer 头** 服务器可以检查请求的 `Referer` 头,确保请求来源于可信的来源。然而,这种方法并不完全可靠,因为某些浏览器或网络设置可能会隐藏或修改 `Referer` 头。 3. **使用 SameSite Cookie 属性** 设置 Cookie 的 `SameSite` 属性为 `Strict` 或 `Lax`,以防止 Cookie 在跨站请求中被发送。`SameSite=Strict` 会完全阻止跨站请求携带 Cookie,而 `SameSite=Lax` 允许某些安全的 GET 请求携带 Cookie。 4. **双因素认证(2FA)** 即使攻击者成功伪造请求,双因素认证可以提供额外的安全层,要求用户提供第二种身份验证方式(如短信验证码或一次性密码),从而降低攻击成功的可能性 [^1]。 5. **自定义 HTTP 头** 要求请求中包含特定的自定义 HTTP 头(如 `X-Requested-With`),攻击者无法通过简单的 `<img>` 或 `<form>` 标签伪造此类请求。 6. **验证码** 对于某些高风险操作(如更改密码或转账),可以要求用户输入验证码。验证码可以有效防止自动化攻击,但可能会影响用户体验。 ### 示例代码:使用 CSRF Token 进行防御 以下是一个简单的示例,展示如何在 Django 框架中使用 CSRF Token 来防御 CSRF 攻击: ```python from django.views.decorators.csrf import csrf_protect from django.http import HttpResponse @csrf_protect def transfer(request): if request.method == 'POST': # 处理转账逻辑 return HttpResponse("转账成功") else: return HttpResponse("无效请求") ``` 在上述代码中,`@csrf_protect` 装饰器确保只有包含有效 CSRF Token 的 POST 请求才能被处理。 ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值