【安全】P 5-7 CSRF漏洞防御

最新推荐文章于 2025-04-21 17:48:44 发布
原创 最新推荐文章于 2025-04-21 17:48:44 发布 · 312 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #信息安全 #渗透测试

本文介绍了三种常见的CSRF(跨站请求伪造)防御方法:验证码防御,通过强制用户交互来防止非法操作;RefererCheck防御,通过检查请求来源来阻止非预期的请求;以及Anti-CSRFToken防御,使用随机不可预测的参数来确保请求的合法性。这些方法在提升安全性的同时,也需权衡用户体验。

目录

0X01 验证码防御

验证码防御被认为是对抗CSRF最为简单而且有效的防御方法。
CSRF在用户不知情的情况下完成对应操作,而验证码强制用户与应用程序交互,才能最终完成操作。通常情况下,验证码能够很好的遏制CSRF。
出于用户体验考虑,不可能每一个操作都加入验证码。所以验证码只作为辅助手段,不能作为防御CSRF的主要解决方案。

  • 验证码防御也可以被认为是二次验证

0X02 Referer Check防御

Referer Check主要用于防止图片盗链。同理也可以用来检查请求是否来自合法的“源”。
比如用户修改密码,一定是在登录系统后台之后进行操作。所以在修改提交表单的时候,一定会从系统后台页面提交。携带Referer头。如果Referer不是当前系统的域,那么极有可能遭受CSRF。
缺陷:服务器并非任何时候都可以取到Referer。例如HTTPS跳转到HTTP。

0X03 Anti CSRF Token防御

CSRF本质原因:重要操作的所有参数都是被恶意攻击者猜测到的。
那么防御措施就是生成一个随机且不被轻易猜测的参数。目前大多数防御都采用token(不可预测)。

0X04 Token泄露

例如:GET型Token泄露
页面包含 那么请求中的Referer就会携带对应的GET Token。
例如:POST型Token泄露
利用XSS漏洞读取Cookie,获取存储在其中的Token值。

CSRF漏洞原理和防御
m0_61506558的博客
08-22 686
本文基于靶场,对CSFR进行阶段性总结,后续通过实战会不断总结,完善。对CSRF做了个归纳,以后会慢慢优化!!!
第39天:WEB攻防-通用漏洞_CSRF_SSRF_协议玩法_内网探针_漏洞利用
weixin_45534587的博客
01-31 1216
CSRF全称:Cross-site request forgery,即,跨站请求伪造,也被称为 “One Click Attack” 或 “Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。举个生活中的例子:就是某个人点了个奇怪的链接,自己什么也没输入,但自己的qq号或其他的号就被盗了。即该攻击可以在受害者不知情的情况下以受害者名义伪造请求,执行恶意操作,具有很大的危害性。
安全】P 5-3 CSRF漏洞自动化探测
Z_David_Z的博客
02-22 308
目录0X01 手动探测原理0X02 自动化探测工具介绍0X03 自动化探测工具使用0X04 利用CSRF漏洞 0X01 手动探测原理 手动探测原理在于探测web应用程序具有防止CSRF的措施。 如果Web应用程序的HTTP请求中没有对应的预防措施,那么很大程度上就确定存在CSRF漏洞。 0X02 自动化探测工具介绍 CSRFTester是一款CSRF漏洞的测试工具。 CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester
安全】P 5-4 CSRF漏洞token防御介绍
Z_David_Z的博客
02-23 368
目录0X01 漏洞修补逻辑分析0X02 简单代码模型分析0X03 生成Token代码分析0X04 使用Token进行CSRF漏洞防御 0X01 漏洞修补逻辑分析 CSRF漏洞实质:服务器无法准确判断当前请求是否是合法用户的自定义操作。 如果服务器在用户登录之后给予用户一个唯一合法令牌,每一次操作过程中,服务器都会验证令牌是否正确,如果正确那么执行操作。不正确不执行操作。 一般情况下,给予的令牌会写入表单中隐藏域的value值中,随着表单内容进行提交。 0X02 简单代码模型分析 远程构造CSRF利用P
web安全-----CSRF漏洞
qq_41683305的博客
03-04 508
简述 CSRF:Cross-site request -forgery,跨站请求伪造,是一种web攻击方式,是由于网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要访问这个网站,都会默认你已经登录。 危害 攻击者可以利用你的身份,以你的名义发送恶意请求。cerf能够做的事情包括:以你的名义发送邮件,发信息,盗取你的账号,甚至购买商品,虚拟商品转账 CSRF之POC制作 测试环境:DVWA的CSRF,low 1、利用burpsuit生成CSRF_POC 打开要测试的页面,burps
csrf漏洞防御方案_CSRF 漏洞原理详解及防御方法
weixin_35474374的博客
01-14 3140
跨站请求伪造:攻击者可以劫持其他用户进行的一些请求,利用用户身份进行恶意操作。例如:请求http://x.com/del.php?id=1是一个删除ID为1的账号,但是只有管理员才可以操作,如果攻击者把这个页面嵌套到其他网站中“http://x.com/del.php?id=1”> 再把这个页面发送给管理员,只要管理员打开这个页面,同时浏览器也会利用当前登陆的这个管理账号权限发出:http:...
CSRF漏洞原理攻击与防御(非常细)
热门推荐
hello
04-02 7万+
CSRF漏洞原理攻击与防御 目录CSRF漏洞原理攻击与防御一、什么是CSRF?二、CSRF攻击原理及过程三、CSRF分类1. GET类型的CSRF2. POST类型的CSRF四、CSRF漏洞的挖掘五、CSRF漏洞防御1、验证码2、在请求地址中添加 token 并验证3、在 HTTP 头中自定义属性并验证4、验证 HTTP Referer 字段总结 提示:以下是本篇文章正文内容,下面案例可供参考 一、什么是CSRF? CSRF (Cross-site request forgery,跨站请求伪造)也被称为
DVWA-CSRF漏洞【全难度】
ethan18的博客
06-10 402
CSRF漏洞全称是Cross-site Request Forgery,跨站请求伪造。这个漏洞主要的思路是利用了本来就登录在目标网站A的用户,当这些用户点击了相应的伪造网站B后,这些网站中的陷阱就会使用户访问网站A(在用户不知道的情况下),这样就可以借助用户之手,做到列入修改密码之类的操作。
csrf学习2,漏洞挖掘与防御
jonhswei的博客
04-21 1230
概述: CSRF漏洞防御主要有两个方向,一是识别请求来源,二是让前端页面与伪造请求变得不一样。Referrer Policy定义: Referrer Policy是浏览器的一个安全策略,用于控制页面在请求资源时是否携带referrer信息。作用: 控制页面在跨站请求时是否带上来源信息,有助于防止CSRF安全威胁。
csrf漏洞防御方案_SpringSecurity框架下实现CSRF跨站攻击防御
weixin_39867296的博客
12-21 339
一、什么是CSRF很多朋友在学习Spring Security的时候,会将CORS(跨站资源共享)和CSRF(跨站请求伪造)弄混,以为二者是一回事。其实不是,先解释一下:CORS(跨站资源共享)是局部打破同源策略的限制,使在一定规则下HTTP请求可以突破浏览器限制,实现跨站访问。CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。当我们使用Spring Secu...
安全】P 5-2 无防护的CSRF漏洞利用
Z_David_Z的博客
02-22 293
目录0X01 GET型CSRF代码分析0X02 GET型CSRF利用0X03 POST型CSRF代码分析0X04 POST型CSRF利用 0X01 GET型CSRF代码分析 0X02 GET型CSRF利用 构造GET型 URL,提交username和password参数,以此来新建对应的用户名和密码。 http://127.0.0.1/csrf_test/get_csrf/new_user.php?username=admin111111&password=132251231 隐蔽利用 img
CSRF漏洞详解
渗透测试研究中心
06-10 1360
0x01 CSRF定义   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。尽管听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流...
[Web安全] xss&CSRF漏洞初探
qq_42551635的博客
09-06 986
[Web安全] xss&CSRF漏洞初探 正文|xss简介 现代网站往往会包含大量的动态内容,动态内容是指web应用程序根据用户环境和需要来输出相关内容。跨站脚本攻击(cross site scripting)是一种针对网站应用程序的安全漏洞利用技术,是代码注入漏洞的一种,它使得攻击者可以通过巧妙地方法向网页中注入恶意代码,用户浏览器在加载网页、渲染html文档时就会执行攻击者的恶意代码,攻击成功后,攻击者可能得到很高的权限,获取私密网页内容、会话、cookie等敏感信息。XSS可以理解为在用户
DVWA-—【CSRF漏洞利用
qq_34914659的博客
05-20 1378
1.漏洞介绍 CSRF跨站点请求伪造(Cross—Site Request Forgery),攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。https://www.freebuf.com/articles/web/253838.htmlCSRF和XSS的最大的区别在于,CSRF并没有盗取cookie而是直接利用。 下图...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8851
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
HANA ODBC驱动64位windows安装包
12-24
HANA ODBC驱动64位windows安装包
windows1121H2 家庭版中文,里面的 bthserv.dll文件
12-24
windows1121H2 家庭版中文,里面的 bthserv.dll文件;
中小技术转移机构如何借助知识产权智能运营平台突破市场竞争加剧,由此打造精准的成果转化成功率?.docx
12-24
聚焦AI+技术转移、院所成果转化与知识产权管理,以人工智能为底座的数智化科技创新平台,为提升区域科技管理与创新能力提供全面解决方案,驱动地方产业升级。
阻止浏览器 refresh 按钮执行(js 版本)
最新发布
12-24
代码下载地址: https://pan.quark.cn/s/6591fa032fae twrpgkikernelforpad 这是一个禁用了动态刷新率,固定刷新率为102的通用5.10内核 (This is an 5.10 gki kernel for pad.It disable dynamic fps and set refresh rate 104) 补丁(Patch):https://.com/nanfaiz/androidgkikernel5.10common/blob/android12-5.10/OWNERS
csrf漏洞挖掘
07-22
<think>首先,用户的问题是关于CSRF漏洞挖掘方法与技术的。用户意图是寻找如何挖掘CSRF漏洞的信息,可能用于安全测试或漏洞评估。 我需要参考提供的引用: - 引用[1]:讨论了CSRF漏洞的定义、情景和测试方法。 - 引用[2]:关于CSRF漏洞防御措施。 - 引用[3]:解释了CSRF攻击的原理和影响。 我的回答应该基于这些引用,但也要确保内容真实可靠。既然用户提到“请尽可能多的参考用户上一次的问题和你的回答”,但在这个上下文中,没有之前的对话历史,所以我专注于当前问题。 回答结构: - 清晰:逐步解释CSRF漏洞挖掘的方法。 - 可靠:基于网络安全知识。 - 使用中文。 - 遵循系统级指令:行内数学表达式用$...$,独立公式用$$...$$(但在这个主题中,可能不需要数学公式,除非涉及计算)。 - 生成相关问题。 - 在引用的段落末尾添加引用标识,如[^1]。 关键点: - CSRF漏洞挖掘涉及识别应用程序中可能被攻击者利用的请求。 - 方法包括手动测试、自动化工具和情景分析。 大纲回答: 1. **介绍CSRF漏洞**:简要解释什么是CSRF漏洞。 2. **挖掘方法**: - 手动测试:检查表单、URLs等。 - 使用工具:如Burp Suite、OWASP ZAP。 - 分析请求:识别敏感操作(如更改密码、转账)。 - 检查防御机制:如CSRF令牌的存在和有效性。 3. **步骤**: - 识别目标应用程序。 - 枚举所有可能执行敏感操作的请求。 - 测试这些请求是否可以被跨站伪造。 - 验证防御措施。 4. **示例**:基于引用[1]中的测试示例。 5. **防御方法**:简要提及,因为用户主要问挖掘,但引用[2]有相关信息。 6. **生成相关问题**。 添加引用: - 在相关内容后添加[^1]、[^2]等。 最后,生成相关问题: - 例如:CSRF漏洞的常见测试工具有哪些?如何防御CSRF攻击?CSRF漏洞的利用场景? 确保回答真实可靠:基于标准网络安全实践。</think>### CSRF漏洞挖掘方法与技术 CSRF(跨站请求伪造)漏洞是一种常见的网络安全威胁,攻击者利用用户已登录的身份,在用户不知情的情况下伪造恶意请求执行非法操作(如修改密码或转账)。挖掘CSRF漏洞的核心目标是识别应用程序中可能被伪造的敏感请求,并验证其防御机制的有效性。以下我将逐步介绍CSRF漏洞挖掘的方法与技术,基于网络安全最佳实践和渗透测试经验[^1][^3]。 #### 1. **理解CSRF漏洞原理** - CSRF漏洞发生在应用程序未对敏感请求实施足够验证时。攻击者通过诱骗用户访问恶意页面(如钓鱼网站),触发跨站请求。例如,如果用户登录了银行网站,攻击者可以伪造一个转账请求:`POST /transfer?amount=1000&to=attacker`。当用户浏览恶意页面时,浏览器会自动发送该请求,利用用户的会话cookie[^3]。 - 关键点:请求必须是“幂等”(如GET或POST),且不验证请求来源。数学上,漏洞风险可表示为:$P(\text{CSRF}) = P(\text{no token}) \times P(\text{sensitive action})$,其中$P(\text{no token})$表示缺乏CSRF令牌的概率,$P(\text{sensitive action})$表示操作敏感性的概率[^1]。 #### 2. **挖掘方法:逐步流程** CSRF漏洞挖掘通常结合手动测试和自动化工具,以下是标准流程: **步骤1: 目标识别与枚举** - **识别敏感操作**:分析目标应用程序(如Web应用或API),列出所有可能执行敏感操作的端点。例如: - 用户账户操作:修改密码、邮箱、个人资料。 - 金融操作:转账、支付。 - 管理操作:添加/删除用户、配置设置。 - 使用工具(如Burp Suite或OWASP ZAP)爬取网站,生成请求列表。重点关注GET和POST方法,因为GET请求更易被伪造(可通过URL直接触发)[^1][^3]。 - **枚举请求参数**:检查每个请求的参数(如表单字段或URL查询)。如果参数缺乏动态令牌(如CSRF Token),漏洞风险较高。引用[1]提到,测试方法包括“查看请求头或表单数据是否包含随机令牌”[^1]。 **步骤2: 手动测试请求伪造** - **伪造请求测试**:手动创建恶意HTML页面,模拟攻击场景。例如,针对一个修改密码的POST请求: ```html <html> <body> <form action="https://target.com/change-password" method="POST"> <input type="hidden" name="new_password" value="hacked"> </form> <script>document.forms[0].submit();</script> </body> </html> ``` - 如果用户登录状态下访问此页面,密码被修改,则存在漏洞- 测试时,确保在用户会话中操作(如使用测试账户),并观察服务器响应是否成功执行[^1][^3]。 - **检查Referer和Origin头**:验证应用程序是否依赖HTTP头(如Referer或Origin)进行防御。如果这些头缺失或可被绕过(如通过开放重定向),漏洞可能被利用。数学上,绕过概率可建模为:$P(\text{bypass}) = 1 - P(\text{strict validation})$[^2]。 **步骤3: 使用自动化工具扫描** - **工具辅助挖掘**:自动化工具能高效扫描大量请求。推荐工具: - **Burp Suite**:使用CSRF PoC生成器创建测试用例,自动检测缺失令牌的请求。 - **OWASP ZAP**:运行主动扫描,识别可伪造的端点。 - **定制脚本**:用Python或JavaScript编写脚本,批量测试请求(如使用requests库发送伪造请求)。 - 工具输出报告后,手动验证误报(如假阳性请求)[^1][^3]。 - **情景测试**:模拟真实攻击场景,例如: - 测试跨域请求:在iframe中嵌入恶意页面,观察是否触发操作。 - 结合其他漏洞:如XSS(跨站脚本)漏洞,可增强CSRF攻击效果(例如,通过XSS注入CSRF payload)[^3]。 **步骤4: 验证防御机制** - **检查CSRF令牌**:如果应用程序使用了CSRF令牌(如随机字符串嵌入表单或cookie),测试其有效性: - 令牌是否随机且会话绑定? - 令牌是否可被预测或重放(如通过会话固定攻击)? - 引用[2]指出,无效令牌防御是常见弱点,需测试令牌生成和验证逻辑[^2]。 - **评估其他防御**:包括SameSite cookie属性、双重认证(2FA)或CAPTCHA。如果这些措施缺失或弱实现,漏洞风险上升[^2]。 #### 3. **挖掘示例与最佳实践** - **示例**:基于引用[1]的实验,假设目标网站有一个“更改邮箱”功能。测试步骤: 1. 使用Burp Suite拦截`POST /update-email`请求。 2. 分析请求体:若缺少`csrf_token`参数,则创建恶意HTML页面。 3. 诱导测试用户访问页面,观察邮箱是否被修改。如果成功,漏洞确认[^1]。 - **最佳实践**: - **环境设置**:在测试环境(如Docker容器)进行,避免影响生产系统。 - **风险控制**:仅测试授权目标,遵守道德黑客准则(如获得书面许可)。 - **报告**:挖掘后,记录漏洞细节(如请求URL、参数和复制步骤),并建议修复(如添加CSRF令牌)[^1][^2]。 - **成功率提升**:统计上,约60%的Web应用存在CSRF漏洞,尤其旧系统。优先测试高价值目标(如金融或用户管理模块)[^3]。 #### 4. **防御方法简要参考** 虽然挖掘是重点,但了解防御有助于识别弱点。主要措施包括: - **CSRF令牌**:生成唯一令牌嵌入表单或头,服务器验证匹配(有效性:$ \text{if } \text{token}_\text{req} = \text{token}_\text{sess} \text{ then safe else vulnerable} $)[^2]。 - **SameSite cookie**:设置cookie为`SameSite=Strict`,限制跨域请求。 - **双重验证**:敏感操作要求额外认证(如短信验证码)[^2]。 挖掘CSRF漏洞需要结合技术技能和场景分析。通过上述方法,您可以系统性地识别和验证漏洞,提升应用程序安全性。实践中,建议参考OWASP测试指南或专业培训资源[^1][^3]。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值