CSRF跨站请求伪造原理和防御

最新推荐文章于 2024-10-05 11:16:54 发布
原创 最新推荐文章于 2024-10-05 11:16:54 发布 · 199 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #csrf

博客介绍了CSRF攻击,即在未关闭网页时点击他人发来的链接,利用浏览器cookie向服务器发送请求,如更改密码。其原理是利用客户端cookie直接请求服务器。还给出了防御手段,包括检测Referer、使用Anti - CSRF token机制以及业务上要求用户输入原始密码。

如何进行

当你在某网页登录后,在没有关闭网页的情况下,收到别人的链接。例如:http://xxx.xxx.xxx.xxx/dva/csrf/?password_new=1&password_conf=1&Change=Change# 点击链接,会利用浏览器的cookie把密码改掉。

主要原理

在没有关闭相关网页的情况下,点击其他人发来的CSRF链接,利用客户端的cookie直接向服务器发送请求。

防御手段

检测Referer

Anti-CSRF token机制

业务上要求用户输入原始密码(简单粗暴),攻击者在不知道原始密码的情况下,无论如何都无法进行CSRF攻击。

CSRF 跨站请求伪造
m0_69043895的博客
04-19 1452
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)难以防范,所以被认为比更具危险性。
安全测试之 CSRF 跨站请求伪造
最新发布
xiaojieceo的博客
12-10 1160
因此,要防御 CSRF 攻击,网站 A 只需要对于每一个请求验证其 Referer 值,如果是 A 网站的域名,则说明该请求是来自己的请求,是合法的。跨站请求伪造 (Cross—Site Request Forgery):大概可以理解为攻击者盗用了你的身份,以你的名义在恶意网站发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,甚至于购买商品、转账等。b.Referer 的值是由浏览器提供的,并不能保证浏览器自身没有安全漏洞
网络安全-跨站请求伪造CSRF)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
跨站请求伪造CSRF)——常见网站攻击手段原理防御
guugle2010的专栏
04-10 1149
跨站请求伪造CSRF原理防御 Web的隐式身份验证机制只能保证一个请求是来自于某个用户的浏览器,但是无法保证请求是用户批准的。
CSRF跨站请求伪造原理防御
杜小白的博客
04-21 499
一、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。图1 CSRF攻击原理1. 用户C打开浏览器,访问受信任网站A,输入用户名密码请求登录网站A;2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;3. ...
CSRF跨站请求伪造原理 防范措施
晓康的博客
08-14 645
1.什么是CSRFCSRF:Cross-site request forgery (跨站请求伪造) 利用网站对已认证的权限去执行未授权的命令的一种恶意攻击 攻击者会盗用你的登记信息,以你的身份模拟发送请求。比如转账汇款操作 web 身份认证机制只能识别一个请求是否来自某个用户浏览器,但是无法保证请求是用户自己或者批准发送的 图解:左边是用户,右边是需要登陆的...
「第四章」跨站请求伪造(CSRF)
hacckjacking
01-22 563
「第四章」跨站请求伪造(CSRF) 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * 优快云 * GitHub * Google * 维基百科 * YouTube * MDN Web Docs ...
【web安全】——CSRF跨站请求伪造
wxh的博客
10-05 1606
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求
CSRF跨站请求伪造漏洞介绍
weixin_56233402的博客
07-28 1230
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行击,用户一旦击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其XSS混淆,更有甚者会将其越权问题混为一谈,这都是对原理没搞清楚导致的。
保护您的 ASP.NET 应用程序
Lassewang的成长历程
02-03 1410
在上一期中,我讨论了构建 Web 应用程序安全性的重要性,并介绍了包括 SQL 注入参数篡改在内的一些攻击类型,以及如何防范这些类型的攻击 (msdn.microsoft.com/magazine/hh580736)。 在本文中,我将深入探讨以下两种更常见的攻击,以帮助完善我们的应用程序保护体系:跨站脚本 (XSS) 跨站请求伪造 (CSRF)。 您可能很想知道: 只使用生产安全
CSRF跨站请求伪造
分享学习网络的点点滴滴
08-26 359
与XSS经常混淆从信任的角度来区分XSS:利用用户对站的信任CSRF:利用站对已经身份认证的信任结合社工在身份认证会话过程中实现攻击修改账号密码、个人信息(email、收货地址)发送伪造的业务请求(网银、购物、投票)关注他人社交账号、推送博文在用户非自愿、不知情的情况下提交请求。...
安全测试之跨站请求伪造(CSRF)攻击
小太阳~
01-28 7247
一、CSRF攻击的概念CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站,从而在并未授权的情况下执行在权限保护之下的操作,对用户的安全及网站的安全具有很大的危害性。一、CSRF攻击的原理如下图所示,CSRF攻击的原理比较容易理解,其中Web A是存在CSRF漏洞的网站,Web B是
前端安全问题——CSRF跨站请求伪造
godming的博客
12-06 401
CSRF跨站请求伪造(Cross—Site Request Forgery) 我们可以这样理解: 用户登录,网站A核查身份是否正确,正确就下发cookie,cookie会保存在用户的浏览器中,这就完车了一次身份认证的过程,接下来呢,用户又访问了一个网站B,网站B在给用户返回页面的时候,会携带一个引诱性的击,这个击往往是一个链接,这个链接一般就是网站A的API接口。当用户击了这个链接后,这个...
CSRF跨站请求伪造
qq_26054303的博客
04-27 807
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求 例如: 你登陆了一个网站http://blog.sohu.com 然后你又访问了恶意的网站www.abc.com,他构造了一个恶意的请求
Web Security Academy 跨站伪造请求CSRF
汗的博客
12-08 876
笔者Burpsuite Web 安全学院的学习笔记 Burpsuite Web 安全学院:Cross-site request forgery (CSRF)
白帽子讲web安全跨站请求伪造CSRF
hhh
03-02 438
白帽子讲web安全跨站请求伪造CSRF) (有些内容纯属个人理解,如有错误请不吝指正) CSRF简介 本质: 在用户不知道的情况下,攻击者猜解出了一个正确的url,伪造访问请求并且成功访问了此url下的内容。 浏览器的cookie策略 在攻击者进行CSRF攻击时,会遇到一个问题,即要做到成功访问某些页面是需要认证的。这就涉及了cookie。 cookie分为:Session Coo...
一个比较好用的CSRF跨站请求伪造工具类
孔方子的博客
02-25 736
前言描述:最近项目里,安全测试组发现通过SQL注入可以轻松登录后台管理系统,于是就加了个CSRF跨站请求伪造功能,防止被恶意登录。 以下是代码部分: package com.faw.***.common.xss; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; ...
CSRF跨站请求伪造教程:OWASP CSRFTester工具使用与安全测试
### CSRF跨站请求伪造知识详述 #### CSRF跨站请求伪造定义 CSRF,即跨站请求伪造(Cross-Site Request Forgery),是一种安全漏洞,攻击者利用用户对网站的信任,诱使用户在已经认证的会话中执行非预期的操作。当...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值