什么是 CSRF攻击

最新推荐文章于 2024-10-14 08:54:09 发布
最新推荐文章于 2024-10-14 08:54:09 发布
阅读量134 收藏
点赞数
文章标签: javascript ViewUI
原文链接:http://www.cnblogs.com/justwannaloveyou/archive/2010/12/01/1893838.html
版权

CSRF - Cross-site Request Forgery 字面意思是指跨站点请求伪造,通常用来指 WEB 网站的这一类漏洞,即在某个恶意站点的页面上,促使访问者请求你的网站的某个 URL(通常会用 POST 数据方式),从而达到改变服务器端数据的目的。这一类攻击依赖于你的网页中的表单,脆弱的表单很容易受到攻击。对于你网站中的访问者而言,可能会受到以下攻击:

* 在你的网站之外记录受攻击者的日志(比如:Slashdot);
* 修改受攻击者在你的网站的设置(比如:Google);
* 修改你的硬件防火墙;
* 使用受攻击者的登录信息在你的网站中发表评论或留言;
* 通过受攻击者的 IP 地址发表匿名留言;
* 将资金转移到另一个用户帐号中。

CSRF 攻击的典型是那些使用 cookie 记录登录信息的网站,但对于一些允许某个 IP 地址访问的页面(如内部网),这一类攻击也会奏效。

CSRF 攻击通常会使用到 JavaScript(但不仅限于 JavaScript)实现跨站点自动提交表单--表单数据可以隐藏,提交按钮可以伪装成链接或滚动条。

如何防止 CSRF 漏洞

* 确定那些接受可改变服务器数据的 CGI 只接受 POST 参数,不接受 GET 参数,一些服务器端语言默认同时接受两种方式提交过来的参数;
* 确定表单提交处理的是你自己的表单,可以使用一个隐藏字段中存放 MD5 字符串,此字符串是将登录 cookie 数据与服务器端存放的密钥进行 MD5 之后的结果,只有这个 MD5 字符串正确时才接受表单数据;
* 另外还可以增加一个更为严格的方法:在表单中增加一个时间戳的隐藏字段,并将其包含到 hash 字符串中,如果时间戳超过某个时间,则认为表单已过期。当表单过期时,给出一个方法可以让用户重新提交表单,比如将用户之前填写的数据依旧放入表单中,但使用一个新的 hash 字符串。

 

转载于:https://www.cnblogs.com/justwannaloveyou/archive/2010/12/01/1893838.html

djbjh55539
关注
4.3. CSRF
Sumarua的博客
07-02 1235
文章目录4.3. CSRF4.3.1. 简介4.3.2. 分类4.3.2.1. 资源包含4.3.2.2. 基于表单4.3.2.3. XMLHttpRequest4.3.3. 防御4.3.4. 参考链接 4.3. CSRF 4.3.1. 简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内
什么是csrf攻击如何避免,CSRF攻击与防御
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
05-05 2964
CSRF攻击攻击原理及过程如下: 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
什么是 CSRF攻击
尚兴跃的备忘录
02-05 761
什么是 CSRFCSRF - Cross-site Request Forgery 字面意思是指跨站点请求伪造,通常用来指 WEB 网站的这一类漏洞,即在某个恶意站点的页面上,促使访问者请求你的网站的某个 URL(通常会用 POST 数据方式),从而达到改变服务器端数据的目的。这一类攻击依赖于你的网页中的表单,脆弱的表单很容易受到攻击。对于你网站中的访问者而言,可能会受到以下攻击:* 在
什么是 CSRF 攻击
热门推荐
点滴
03-28 3万+
CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
什么是csrf攻击
Leon_Jinhai_Sun的博客
11-15 294
CSRF攻击产生的原因 (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用也就是人们所知道的钓鱼网站。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并...
什么是 CSRF 攻击
lio-zero 的博客
05-23 2816
CSRF(Cross-site request forgery):跨站请求伪造。 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。与 XXS 相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 CSRF攻击原理 用户登录了受信任的网站,并在本地生成了 cookie。 在不退出登录的情况下,访问了危险网站。 危险网站会发出......
什么是CSRF攻击,如何防范CSRF攻击
weixin_47450807的博客
03-02 7138
什么是CSRF攻击,如何防范CSRF攻击
什么是CSRF攻击
weixin_40851188的博客
05-01 1722
什么是 CSRF 攻击CSRF 概念:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利 用。 尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户的...
什么是CSRF 攻击
最新发布
Sherry Tian的博客
10-14 1466
CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击是一种网络攻击手段,它利用合法用户的权限来执行非授权的操作。本篇讲CSRF的工作原理
什么是 CSRF?如何防止 CSRF 攻击
公众号:该用户快成仙了
07-27 1830
CSRF,全称 Cross-Site Request Forgery,中文翻译为跨站请求伪造,它是一种网络安全漏洞,攻击者通过伪造用户的请求,利用用户在已登录的情况下的身份验证信息,向服务器发送恶意请求,从而执行未经用户授权的操作。CSRF攻击通常发生在用户已经登录了某个网站的情况下,攻击者在用户不知情的情况下利用用户的身份信息发送恶意请求,导致服务器误以为是用户发送的合法请求。用户登录到一个网站,并且被骗点击了攻击者构建的另一个网站链接,这代表了 CSRF 的“跨站点”部分。
CSRF 攻击
AnnieY_的博客
10-08 210
所以⼀般⽹站会允许搜索引擎的页⾯请求,但是相应的页⾯请求这种请。个问题是⼀般不会只有⼀台⽹站服务器,如果请求经过负载平衡转移到了其他的服务。这个登录状态,绕过后台的⽤户验证,冒充⽤户向服务器执⾏⼀些操作。进⾏双重验证 ,服务器在⽤户访问⽹站页⾯时,向请求域名注⼊⼀个。攻击,⽐如构建⼀个表单,然后隐藏它,当⽤户进⼊页⾯时,⾃动。,内容为随机字符串,然后当⽤户再次向服务器发送请求的时候,从。单⼀验证⽅式时,可能会被冒⽤的问题,但是这种⽅法存在⼀。,攻击者诱导⽤户进⼊⼀个第三⽅⽹站,然后该⽹站向被。
什么是 CSRF 攻击?如何防范 CSRF 攻击
weixin_49733248的博客
08-20 624
CSRF 攻击指的是跨站请求伪造攻击攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态(cookie),绕过后台的用户验证,冒充用户向服务器执行一些操作。 CSRF 攻击的本质是利用了 cookie 会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充。 防护方法: 同源检测,服务器检测请求来源; 使用 token 来进行验证; 设置 cookie 时设置 Samesite,限制 cookie 不能作
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
05-21 1万+
这时该转帐请求的 Referer 值就会是转账按钮所在的页面的URL,而如果黑客要对银行网站实施 CSRF攻击,他只能在他自己的网站构造请求,当用户User通过黑客的网站发送请求到WebA时,该请求的 Referer 是指向黑客自己的网站。你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。比如在PHP中,如果使用的是。
CSRF漏洞原理攻击与防御(非常细)
xnxqwzy的博客
10-20 1693
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
你知道什么是 CRSF 攻击吗?
激流丶的博客
02-25 2236
CSRF(Cross-Site Request Forgery)攻击是一种网络安全攻击方式,攻击者利用用户已经认证过的会话来执行未经用户授权的操作。攻击者通过诱使用户访问恶意网站或点击恶意链接,在用户已经登录的情况下发送伪造的请求,以执行某些操作,如修改用户信息、发起转账等。这样的攻击可以导致用户数据泄露、账户被盗等安全问题。
csrf攻击原理与解决方法
hengliang_的博客
09-10 5890
0x01前言 因为现代浏览器的工作机制原因,造成一种WEB攻击形态的存在, 这种攻击形式叫做CSRF攻击,以往我们是从攻击角度分析这种攻击的原理和操作。这次我们给出攻击原理同时,给出CSRF在服务器端的防御的解决方案。CSRF是现代WEB程序要面对的共通性问题,在很多流行的WEB框架中,都会将CSRF的问题直接在WEB框架层面解决。 我们先抛出CSRF这个问题,然后介绍基于时间与签名的防护手段,并且给出的这种防御手段的具体代码实现。过程中使用了Lua语言进行实现功能, LUA是一种容易理解的脚本语言,大
前端安全之 CSRF 攻击原理和防护方法
weixin_59124055的博客
06-13 6264
CSRF(Cross-site request forgery)简称:跨站请求伪造,学习 CSRF 攻击原理和防护方法是我们团队新成员的必修课,通常我都是先让新同学自己研究自己讲,然后我再通过其中细节再给他们讲一遍,讲的次数多了,也慢慢总结出一种比较容易理解的讲法。这里我整理成文分享给有需要的人。引言:必修课为什么选择 CSRFCSRF 涉及到的前端知识点比较多,全面理解需要系统的学习 Cookie,前端跨域,HTTP 协议,web 浏览器等知识。理解 CSRF 攻击和防护方法是前端进阶要去,我也希望大家
CSRF攻击方式
weixin_30885111的博客
03-20 444
来源:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理...
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1845
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值