你的钱为什么被转走,这篇文章告诉你答案(CSRF详解)

最新推荐文章于 2024-12-11 17:57:27 发布
最新推荐文章于 2024-12-11 17:57:27 发布
阅读量1w 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: java工具 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SDDDLLL/article/details/104001297
本文深入解析了CSRF(跨站请求伪造)攻击原理,通过实例展示了如何利用此漏洞非法转账,同时提供了三种防御策略,包括验证码、RefererCheck和动态Token。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这段时间很多文章标题都是面试官,所以跟个风,这篇文章也以面试官开头,主要内容是关于CSRF。全称叫做Cross-site request forgery,中文全称叫做跨站请求伪造。

一、CSRF是什么?

刚刚已经说了,全称叫做夸张请求伪造,很明显就是和安全有关的一个知识点,意思是攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。

举个例子来解释,你去某网买东西,输入了用户名密码,攻击者在另外一个页面重新使用了你的用户名密码。比如发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账。

所以说危害那是相当严重,我们使用一张图来表示一下这个过程吧。

在这里插入图片描述
至于能不能经得起诱惑,就看个人了。有时候我们点击了某一个链接但是没有执行任何操作,银行卡的钱却不见了,你知道这是为什么吗?我们可以模拟一下这个过程。

二、你的钱为什么会不见了

其实这个步骤和刚刚那个图是一样的。现在有张三和李四进行转账。

1、张三给李四100块,执行的操作是:

xxx/transfer.php?from=张三&money=100&to=李四

**注意此时的张三没有把页面关闭掉。**这里的前缀我没有写,因为文章审核通过不了。

2、黑客想把钱转给自己,执行的操作是:

xxx/transfer.php?from=张三&money=100&to=黑客

很明显会失败,这是因为张三在登录系统的时候会通过cookie,把自己的session传递给后台服务器。此时系统检查当前的session中的身份,发现不正确就拒绝了。

3、黑客继续想办法,使用不良网站诱导:

网站的连接很有颜色感,让张三欲罢不能,于是点击了诱导链接A。此时返回给黑客的信息就是:

<html>
	<body>
		<form method="get" action="xxx/java">  
			<input type="hidden" name="from" value="张三">   
			<input type="hidden" name="money" value="100">  
			<input type="hidden" name="to" value="黑客">   
			<input type="button" οnclick="submit()" value="来呀,快活呀">
		</form>
	</body>
</html>

如果此时张三刚刚给李四转完钱,并且页面还没关闭,就点击了这个链接,那么就会执行上面的操作。这是因为此时的黑客身份就是张三的信息,银行不知道因为是张三,于是接受了请求。

三、如何防范

1、验证码

这个道理很简单,也是目前使用最广泛的一种方式。验证码则强制用户必须与应用进行交互,才能完成最终请求。但该方式用户体验较差;

2、Referer Check防盗链

可以检测请求是否来自合法的源,如果请求不是来自合法源,则很可能发生了CSRF攻击,但服务器并不能在任何时候都能获取到Referer;

3、Token

使用动态的Token。使用真随机数或者经过密钥加密的字符串作为token值,使用方式可参考重放攻击防御中的token,该防御方式需要注意token的完全随机和有效期,一个经常无规则变动的token值往往是无法破解的。

具体的更加详细的就不说了。这个是面试中很常问的一个面试点。

在这里插入图片描述

asp html表单没有csrf保护,CSRF在ASP.NET Core中的处理方法详解
weixin_36337756的博客
06-28 841
前言前几天,有个朋友问我关于AntiForgeryToken问题,由于对这一块的理解也并不深入,所以就去研究了一番,梳理了一下。在梳理之前,还需要简单了解一下背景知识。AntiForgeryToken 可以说是处理/预防CSRF的一种处理方案。那么什么是CSRF呢?CSRF(Cross-site request forgery)是跨站请求伪造,也被称为One Click Attack或者Sessi...
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3579
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
你的为什么会被转走,这篇文章告诉答案
蚁景网安学院
10-22 788
篇文章内容,主要是关于CSRF。 01 什么是CSRFCSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 CSRF攻击原理如下: 用户打开浏览器,访问登陆受信任的A网站 在用户信息通过验证后,服务器会返回...
误点链接转账是怎么回事
weixin_39934009的博客
06-22 527
误点链接转账
Spring4.2.9+mybatis3.4.4集成(整合Jackson、防御XSS版)支持JDK1.6、Tomcat6
05-12
如果您基于Java6(JDK1.6)开发项目,这应该是目前最新的版本了。
黑客究竟用什么姿势偷走了你的
weixin_34174105的博客
07-03 211
分享嘉宾:宋宇昊,毕业于上海交通大学信息安全学院,碁震(KEEN)的联合创始人,现担任技术总监、高级研究员,曾任职于微软(中国)安全响应中心,并于2010年获得微软中国突出贡献奖。目前关注Android相关和智能设备领域的安全研究,同时致力于打造 GeekPwn 平台,向广大白帽子们征集智能设备漏洞,并且展现给大众。   【KEEN 联合创始人 宋宇昊】...
常见安全漏洞及整改建议
sjh_c513的专栏
12-09 4627
1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买
Java面试不通过?这篇文章你看了吗?
热门推荐
程序羊的博客
08-06 5万+
Java面试题千千万,个人觉得没有最好的答案,只有最适合的答案;本文的宗旨是为读者朋友们整理一份详细而又权威的面试清单。 此文是前段时间本人根据部分文章汇总压在草稿箱(由于时间关系,忘了加上对应的原创链接,如有侵权,请联系本人删除,本人单纯秉着知识乐于分享的精神),今天发现在草稿箱,特发出来给大家,仅供参考。 注:本人才疏学浅,知识还在积累中,不能保证每个回答都满足各种等级的高手们,(由于一些技术的升级,部分答案不能保证实时同步准确,还请大家在阅读的时候多多留意)若发现有问题的话,请评论指出。.......
运维转行开发指南(非常详细)零基础入门到精通,收藏这一篇就够了
A1_3_9_7的博客
12-11 744
IT运维工程师分很多种。如果是做基础底层的硬件设施,空调,ups等维护,强弱电布线,运维,设备搬迁实施,那你这个待遇估计天花板了。但是你做到中级的运维,负责一些软件系统,网络的维护和一些技术支持,一些网络设备,服务器,存储设备的基础维护,那你考个认证可以力争过五位数。
(建议精读)HTTP灵魂之问,巩固你的 HTTP 知识体系
m0_67698950的博客
08-10 608
从前面的小节可以知道,HTTP 传输是基于请求-应答的模式进行的,报文必须是一发一收,但值得注意的是,里面的任务被放在一个任务队列中串行执行,一旦队首的请求处理太慢,就会阻塞后面请求的处理。这就是著名的HTTP队头阻塞问题。前面说到了 HTTP 是一个无状态的协议,每次 http 请求都是独立、无关的,默认不需要保留状态信息。但有时候需要保存一些状态,怎么办呢?HTTP 为此引入了 Cookie。...
HTTP 请求走私漏洞详解
江左盟的博客
07-08 3958
超详细的HTTP请求走私漏洞教程,看完还不会你来找我。
2021前端面经-看这篇就够了(笔者靠这个拿到阿里和字节的offer)
爱前端也爱恋爱
04-30 2041
面试题梳理 梳理前端常见面试题及答案。 一、web 前端性能优化 性能评级工具(PageSpeed 或 YSlow) css CSS优化、提高性能的方法有哪些 多个css合并,尽量减少HTTP请求 将css文件放在页面最上面 移除空的css规则 避免使用CSS表达式 选择器优化嵌套,尽量避免层级过深 充分利用css继承属性,减少代码量 抽象提取公共样式,减少代码量 属性值为0时,不加单位 属性值为小
HTML form without CSRF protection,HTML表单没有CSRF保护
收集盒 Book box
07-18 6891
HTML form without CSRF protection =HTML表单没有CSRF保护  CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台
系统安全--csrf攻击、为关键cookie设置httpOnly属性(防止xss攻击)安全问题
wuqinghua_1016的专栏
10-12 7886
为关键cookie设置httpOnly属性 首先,设置了HttpOnly属性的cookie变量无法被js获取,而XSS就是在别人的应用程序中恶意执行一段JS以窃取用户的cookie,所以为关键Cookie设置HttpOnly属性可以有效防止XSS攻击(Cross Site Scripting  跨站脚本攻击)。 但实际中有很多Cookie需要给前端JS使用,因此一般的安全问题只需要关注关键Co...
高薪必备:如何实现带有过期时间的LRU?(java版)
冯冬冬的博客
05-14 1万+
在很早之前学操作系统的时候见过这个算法,后来见到的越来越多,以至于刷面经的时候也看到了,总结一下: 一、什么是LRU LRU全称是Least Recently Used,即最近最久未使用的意思。也就是说:如果一个数据在最近一段时间没有被使用,将来被使用的机会也比较小。 通常的使用场景就是缓存,比如说操作系统中的页面置换算法。实现的方案有很多,我看了很多博客,大多是给了四五种。这里为了简洁,只给出一种,是带有过期时间的。其他的实现类似,就交给聪明的你吧!! 解决方案:利用链表加HashMap 每次来一个新数
记一次java中三元表达式的坑(避免踩坑)
冯冬冬的博客
04-14 1万+
近期一直在刷算法,原创文章写的也比较少,今天的主题不算是一个很大的问题,是我做题的时候出来的,而且还曾在A厂的公众号上看到过,今天自己整理一下,避免大家入坑。 这个问题是三元表达式会在计算的时候出现拆箱的运算,造成空指针异常。 一、问题重现 public class Test { public static void main(String[] args) { Integer a = nul...
为什么推荐使用try-with-resources代替try-finally
冯冬冬的博客
12-21 1万+
篇文章是我近期看了《Effective java》一书中总结的,来自其中第九条。为了对其理解的更加透彻,因此重新分析了一下,并加入了一些其他点。 本文的所有例子均在本地代码运行完毕 基于JDK版本1.8,运行环境eclipse 本文类名:TryWithResources,下文的堆栈信息也以此为基础 在java开发中,一些网络链接或者是文件资源都需要程序员去手动调用close方法关闭,比如InputStream、OutputStream和java.sql.Connection。如果忘关了就可能造成严重的
Java程序员必须要知道的单元测试框架Junit详解
冯冬冬的博客
10-14 525
作为一名java开发者,相信你或多或少的接触过单元测试,对于测试来讲它是一门能够区分专业开发人员与业余开发人员的重要学科,这篇文章将对java中最常见的一个单元测试框架junit进行一个梳理和讲解。如果你之前没接触过,那么就通过这篇文章进行一个学习。如果你是一个测试老手,我也希望这篇文章能够加深你的印象。 一、为什么需要单元测试 在平时的开发当中,一个项目往往包含了大量的方法,可能有成千上万个。如...
csrf详解
最新发布
04-22
<think>好的,我现在需要帮助用户了解CSRF攻击的原理和防护措施。首先,我需要回顾一下CSRF的基本概念。根据引用[3],CSRF是跨站请求伪造,攻击者伪造受信任用户的请求来利用网站。这和XSS不同,XSS是利用站点内的信任用户,而CSRF则是伪装成用户发送请求。 接下来,我需要详细解释CSRF的工作原理。攻击者是如何诱使用户在已认证的情况下执行恶意请求的呢?比如,用户登录了银行网站,然后访问了恶意网站,这个恶意网站里有一个表单,提交到银行网站的转账接口。因为用户的浏览器会自动携带cookie,服务器就会认为是用户自己的操作。这就是CSRF的攻击过程,引用[1]提到攻击者伪造请求,利用cookie通过验证。 然后,防御措施部分。用户可能想知道有哪些方法可以防止这种攻击。根据引用[1],使用token是一种方法,将随机生成的token放在请求参数中,而不是cookie里,服务器验证这个token。另外,引用[2]提到SameSite Cookie属性,可以设置Strict或Lax来限制cookie的发送,防止跨站请求携带cookie。 我需要确保回答结构清晰,分点说明原理和防御措施。可能还需要比较不同防御方法的优缺点,比如token的使用和SameSite属性的区别。同时,要检查是否有其他防御方法,比如验证HTTP Referer头部,或者要求用户进行二次验证。 用户的问题中还提到要生成相关问题,我需要考虑用户可能还想了解哪些内容。例如,CSRF和XSS的区别,或者具体的实现步骤。另外,引用中的信息需要正确标注,比如在提到SameSite时引用[2],提到token时引用[1]。 最后,要确保回答符合用户的要求,使用中文,LaTeX格式正确,没有使用任何markdown,代码块用正确的格式。同时,生成的相关问题要贴近主题,帮助用户深入理解。</think>### CSRF攻击原理及防御措施分步解析 #### 一、攻击原理(3层递进) 1. **身份验证依赖** 网站使用Cookie/Session机制验证用户身份,浏览器会自动携带当前域的有效Cookie[^1][^3] 2. **请求伪造过程** - 用户登录银行网站(假设域A)后未登出 - 访问恶意网站(域B)包含精心构造的请求: ```html <img src="https://domainA/transfer?to=hacker&amount=1000000"> ``` - 浏览器自动携带domainA的Cookie发送请求 3. **攻击达成条件** - 请求参数可预测(无需验证码/二次确认) - 用户保持登录状态 - 请求自动发送(通过`<img>`/`<form>`等标签触发) #### 二、防御措施(4层防御体系) 1. **SameSite Cookie属性** 设置Cookie时添加`SameSite=Lax/Strict`属性: ```http Set-Cookie: sessionid=xxxx; SameSite=Lax ``` - Strict:完全禁止第三方Cookie - Lax:允许GET请求携带Cookie(Chrome默认值)[^2] 2. **CSRF Token验证** 生成随机token并同时存储在服务端和客户端: ```python # Django示例 from django.middleware.csrf import get_token def transfer_view(request): csrf_token = get_token(request) # 生成token return render(request, 'form.html', {'csrf_token': csrf_token}) ``` 表单提交时验证: ```html <form> <input type="hidden" name="csrf_token" value="{{ csrf_token }}"> </form> ``` 服务端校验逻辑: $$ \text{valid} = \begin{cases} \text{True} & \text{if } \text{req\_token} = \text{server\_token} \\ \text{False} & \text{otherwise} \end{cases} $$[^1] 3. **关键操作二次验证** - 密码/短信验证码确认 - 生物特征识别(指纹/面部识别) 4. **防御效果对比表** | 方法 | 防御强度 | 实现复杂度 | 用户体验影响 | |-------------------|----------|------------|--------------| | SameSite Cookie | ★★★★ | ★★ | 低 | | CSRF Token | ★★★★★ | ★★★★ | 中 | | 二次验证 | ★★★★★ | ★★★ | 高 | #### 三、进阶防护策略 1. **请求头校验** ```python # 检查Origin/Referer头 def check_referer(request): allowed_domains = ['trusted.com', 'api.trusted.com'] referer = request.headers.get('Referer') return any(d in referer for d in allowed_domains) ``` 2. **关键操作日志审计** ```sql CREATE TABLE security_log ( id INT PRIMARY KEY AUTO_INCREMENT, user_id INT, action_type VARCHAR(50), timestamp DATETIME DEFAULT CURRENT_TIMESTAMP, ip_address VARCHAR(45) ); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值