web前后端漏洞分析与防御(二)-CSRF

最新推荐文章于 2023-12-02 08:13:57 发布
最新推荐文章于 2023-12-02 08:13:57 发布
阅读量528 收藏 1
点赞数
分类专栏: 【web前后端漏洞分析与防御】 文章标签: Java web CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hhq12/article/details/81268557
版权
本文深入解析了跨站请求伪造(CSRF)攻击的工作原理及其防御措施。介绍了如何利用恶意代码在用户不知情的情况下向目标网站发送请求,以及通过验证码、Token等手段进行防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

跨站请求伪造攻击CSRF(Cross Site Request Forgy)

SRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:
       攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。

发送给http://localhost:1521/已登录用户,该用户打开就会中招
iframe是防止页面跳转
<script>
            document.write(`
                <form name="commentForm" target="csrf" method="post" action="http://localhost:1521/post/addComment">
                    <input name="postId" type="hidden" value="1">
                    <textarea name="content">来自CSRF!</textarea>
                </form>`
            );

            var iframe = document.createElement('iframe');
            iframe.name = 'csrf';
            iframe.style.display = 'none';
            document.body.appendChild(iframe);

            setTimeout(function(){
                document.querySelector('[name=commentForm]').submit();
            },1000);
        </script>

CSRF攻击原理

  CSRF攻击攻击原理及过程如下:

       1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

       2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

       3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

       4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

       5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。 

 

 

CSRF防御

 

 

验证码

 

Token


多Token解决用户打开多页面但是Token被覆盖的问题
http://www.cnblogs.com/bukudekong/p/3829875.html

 

验证refer(referer)(禁止来自第三方网站的请求)

  • 没refer,部分网站,其他方法,根据业务

 

 

网络安全杂谈- CORS/CSRF/XSS
wuli1024的博客
01-08 1856
出于浏览器的同源策略限制,浏览器会拒绝跨域请求。同源: 域名、端口、协议都相同,称为同源。
Web系统常见安全漏洞介绍及解决方案-CSRF攻击
m0_54861649的博客
07-28 1407
CSRF跨站请求伪造,全称Cross-siterequestforgery,是指利用受害者尚失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRFWeb安全中最容易被忽略的一种攻击方式,但某些时候却能产生强大的破坏性。...
CORSCSRF
weixin_34318272的博客
05-18 2152
为什么80%的码农都做不了架构师?>>> ...
CSRFCORS
qq_29454347的博客
08-14 455
CSRF定义 https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF) 主要原因:不合法的CORS请求的结果虽然会被浏览器阻止,但是整个http请求是完成的(且请求带有域的cookie) 举例,一个URL是银行转账操作,参数是金额和需要转账的户头。把这个url放在黑客网站的<img src="">中,虽然黑...
CSRF的原理和防范措施
weixin_33948416的博客
07-13 169
a)攻击原理: i.用户C访问正常网站A时进行登录,浏览器保存A的cookie ii.用户C再访问攻击网站B,网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交,传指定的参数 iii.而攻击网站B在访问网站A的时候,浏览器会自动带上网站A的cookie iv.所以网站A在接收到请求之后可判断当前用户是登录状态,所以根据用户...
csrf和cors有啥关系
m0_57236802的博客
12-02 597
CSRF(Cross-Site Request Forgery)和 CORS(Cross-Origin Resource Sharing)虽然听起来类似,但实际上它们处理的是两个完全不同的安全问题。定义:防御机制:定义:使用场景:实现方式:关系:区别:简而言之,CSRF 关注的是防止恶意网站利用用户的登录状态执行不安全的操作,而 CORS 关注的是允许安全、受控的跨源资源访问。
Web前后端漏洞分析防御-知识梳理.zip
最新发布
03-03
在网络安全领域,Web前后端漏洞分析防御是至关重要的主题。这个压缩包文件"Web前后端漏洞分析防御-知识梳理.zip"很可能包含了对Web应用安全的深入探讨,特别是针对开发人员避免常见错误和陷阱的指导。让我们逐一...
腾讯大牛教你web前后端漏洞分析防御.txt
11-20
### 腾讯大牛教你Web前后端漏洞分析防御 在当今数字化时代,网络安全问题日益突出,尤其是针对Web应用的攻击愈发频繁。《腾讯大牛教你Web前后端漏洞分析防御》一书旨在帮助读者深入理解Web安全领域的基础知识、...
CSRF漏洞token防御介绍-01
09-15
4. 使用 Token 进行 CSRF 漏洞防御:最后,需要在服务器端验证 Token 是否正确,如果正确那么执行操作,不正确不执行操作。同时,在提交操作时,提交 Token 并进行验证。 Token 防御的优点是可以防御 CSRF 漏洞,...
CSRF漏洞防御-01
09-15
CSRF漏洞防御是一种非常重要的安全机制,它可以防止恶意攻击者对Web应用程序的攻击。CSRF漏洞防御主要包括四种方法:验证码防御Referer Check防御、Anti CSRF Token防御和Token泄露。 验证码防御 验证码防御是一...
腾讯大牛亲授 Web 前后端漏洞分析防御技巧 第一章 环境搭建2
06-13
腾讯大牛亲授 Web 前后端漏洞分析防御技巧!
CORS和CSRF
myli92的博客
05-12 598
一、CORS 和 CSRF 区别 CORS(Cross Origin Resource Sharing)跨域资源分享 CORS是一种机制,通过在HTTP响应头中加入特定字段限制不同域的资源请求CSRF(Cross Site Request Forgery)跨站请求伪造 CSRF(Cross Site Request Forgery)跨站请求伪造 CSRF 是一种web攻击手段,通过向服务器发送伪造请求,进行恶意行为的攻击手段 XSS : ...
CORS和CSRF--学习笔记
weixin_45951911的博客
12-04 4074
一、CORS 和 CSRF 区别 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 跨站资源共享 CSRF : Cross-Site Request Forgery 跨站请求伪造 XSS : Cross Site Scrit 跨站脚本攻击(为 CSS 区别,所以在安全领域叫 XSS) 、CORS 1、概念 跨来源资源共享(CORS),亦译为跨域资源共享,是一份浏览器技术的规范,提供了 Web
CSRF的攻击防御
Java/Android/IOS/前端/云计算
10-22 2992
发布时间:2012年08月28日 分享 推荐打印收藏 CSRFWeb应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
什么是csrf、cors?有啥区别?
m0_73302761的博客
07-21 1134
本文参考 原文链接:https://blog.youkuaiyun.com/weixin_47450807/article/details/123227342跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CORS(Cross-Origin Resource Sharing, 跨源资源共享)当一个请求url的协议、域名、端口三者之间任意一当前页面地址不同即为跨域。因此,要想实现CORS进行跨域需要服务器进行一些设置,同时前端也需要做一些配置和分析
前端面经 关于CSRF攻击的原理和防范
Ahua_Core的博客
03-07 354
关于CSRF攻击的原理和防范CSRF攻击的概念CSRF原理方法一、验证HTTP Refer字段方法、请求地址中添加token并验证 CSRF攻击的概念 CSRF:跨站点请求伪造(cross-site request forgery)。简单来说就是,攻击者借用受害者的身份,向有CSRF漏洞的网站发送恶意请求。 举个例子: 攻击者盗用了受害者的身份,然后借用这个身份发送请求,如转账、购买商品等等。 CSRF原理 先在这个情节中设定三个对象: 有CSRF漏洞的网站:WebA 攻击者:WebB 受害者:User
ASGI-CSRF中间件:在Python应用中实现CSRF防御机制
通过分析标签“csrf”、“asgi”、“asgi-middleware”、“Python”,我们能够理解到中间件是针对Python开发的、适用于ASGI应用的、专门用于防御CSRF攻击的工具。 从提供的文件信息和压缩包子文件的文件名称列表...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值