csrf攻击简单介绍

CSRF攻击原理与防范
最新推荐文章于 2024-08-09 14:37:43 发布
原创 最新推荐文章于 2024-08-09 14:37:43 发布 · 437 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

csrf也是利用html和js来对他人的网站进行攻击的。但是跟xss不同的是,不需要对cookie进行操作。

例如

在管理员下可以增加管理员,但是增加管理员的时候没有验证码这一项,也就是说只有用户名和密码。

这个时候我们可以在我们的网站下按照相同的表单设置value,表单指向这个管理员的网址,然后在js里设置自动点击提交按钮,并且设置这个表单隐藏。

这样将这个网页发送给管理员,管理员打开,如果他在线或者session未失效,那么我们的表单就可以提交上去。这样我们就有了新的管理员账户。

当然还有很多其他的例子。这里就不一一说了。

 csrf和xss也可以配合。


如何预防呢?

可以加上验证字段,例如验证码;安装csrf检测工具;不用的登录过的网站一定要点退出按钮;

使用两个浏览器分工,奇奇怪怪的在一个浏览器打开,重要的在一个浏览器打开;

尽量不要打开奇奇怪怪的链接。

less_cold
关注
实现 CSRF 攻击简单示例
weixin_33989780的博客
06-21 2582
为什么80%的码农都做不了架构师?>>> ...
CSRF攻击
m0_58118986的博客
04-18 1076
CSRF(Cross-Site Request Forgery)攻击并不直接盗取受害者的 cookie,而是利用受害者已登录的状态下,伪造一个请求,以达到攻击者的恶意目的。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会觉得这是真正的用户操作而去运行。
csrf攻击简介以及防御之道
qq_20556403的博客
07-05 392
CSRF(Cross Site Request Forgery, 跨站域请求伪造)CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 举例说明:受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求 ht
CSRF(跨站请求伪造)的理解
weixin_33720078的博客
03-25 254
2019独角兽企业重金招聘Python工程师标准>>> ...
不错的讲解CSRF攻击的小例子
jackyrongvip的专栏
03-26 356
CSRF
CSRF测试示例——CSRFTester
MavisHSB
04-08 8603
1、下载CSRFTester,并启动run.bat,终端显示代理地址:‘127.0.0.18008’2、按照上一步中的代理地址,设置浏览器代理。3、在网站中登录后,发送一个请求(添加工作经历)。4、点击Start Recording,利用CSRFTester抓取请求,并对求情参数进行修改:5、点Generate HTML生成脚本6、在浏览器不退出登录情况下,打开生成的脚本,则发现新添加一条信息,则...
csrf攻击
3569
06-28 418
原理 : 设计代码者 ,在对数据库进行增删改查时,传递的参数 简单,任何人只要访问指定的 网址,便可以利用当前操作者的身份进行操作。 例子 : A 站存在 CSRF漏洞 (增加管理员一处参数过于简单,没有验证),B站是攻击者的服务器  管理员登陆账户后 在A 站浏览 检查, 攻击者在A站上边发了个 诱惑性的网站链接 ,比如:         我是XXX ,我好寂寞, 快点我~
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。简单地...
Flask模拟实现CSRF攻击的方法
09-20
以下代码展示了如何使用 Flask 框架构建一个简单的 Web 应用,但未进行 CSRF 验证,因此存在 CSRF 攻击的风险: ```python from flask import Flask, render_template, make_response, redirect, request, url_for ...
PHP开发中csrf攻击简单演示和防范
10-19
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对...
CSRF 攻击
wanglf_clog的博客
05-21 828
CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击,是一种常见的网络攻击方式,它利用用户在已登录网站的凭证(如 Cookie、Session 等)向第三方网站发送非授权的请求。这种攻击之所以有效,是因为浏览器会自动携带用户在 A 网站的认证信息去访问 B 网站,如果 B 网站没有做好防护措施,就会误以为该请求是用户主动发起的并予以执行,从而可能执行恶意操作,如修改用户数据、进行非法转账等。
TOP16之CSRF -- 小黑超细详解+案例说明<宝藏文>
G_WEB_Xie的博客
03-31 927
CSRF -- 跨站请求伪造,很好理解,就是盗用别人的身份伪造请求发送给服务器,在未授权的情况下执行权限保护之内的操作,因为请求的一切流程都是正常操作,这也是一般不会被检测到的漏洞行为。小黑子们,撸起袖子加油干!!!
CSRF 攻击详解
只为成功找方法 不为失败找借口
05-22 5228
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
关于CSRF攻击的一些总结
独酌101112的博客
07-13 438
今天抽时间研究了下CSRF攻击,相对于之前的XSS,感觉CSRF更复杂了一些,查阅了一些大佬的博客,在此总结一下: 含义:CSRF即跨站点请求伪造(Cross Site Request Forgery),攻击者盗用用户的身份,以用户的名义发送恶意请求,但是对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User
从零开始学CSRF
weixin_33825683的博客
01-13 140
为什么要拿CSRF来当“攻击手法系列”的开头篇呢?因为CSRF/XSRF我个人喜爱他的程度已经超过XSS了。如果说XSS是一个老虎,那么CSRF就是隐藏在暗处的蛇。--all from freebuf 相信现在很多人不明白CSRF是怎么运作,他和XSS的不同是在哪里。我这里就逐步为大家解释,并从浅入深的介绍CSRF。 入门 我们先来看看CSRF和XSS的工作原理,先让大家把这两个分开来。 ...
【网络安全】深入探究CSRF攻击与防范
weixin_41950078的博客
04-04 960
目录 1.0 什么是CSRF攻击? 2.0 CSRF攻击过程 3.0 CSRF防范策略 3.1 验证HTTP请求头中指定字段 3.2 添加校验Token 4.0 小结导图 1.0 什么是CSRF攻击CSRF攻击的全称是跨站请求伪造( cross site request forgery),是一种对网站的恶意利用,尽管听起来跟XSS跨站脚本攻击有点相似,但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受...
就一次!带你彻底搞懂CSRF攻击与防御
最新发布
公众号:该用户快成仙了
08-09 2466
跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。----来自维基百科简单来说就是黑客冒充你执行一些恶意行为。跨站可以理解为你登录了A网站,然后访问了恶意B网站。HTTP请求。
安全-CSRF学习分享
qq_41056410的博客
02-22 3247
什么是 CSRF CSRF(Cross-Site Request Forgery)的全称是“跨站请求伪造”,也被称为“One Click Attack”或者“Session Riding”,通常缩写为CSRF或者XSRF。 攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。 CSRF攻击其实是利用了web中用户身份认证验证的一个漏洞:简单的身份验证仅仅能保证请求发自某个用
前端安全(二)CSRF攻击原理及防范
qq_34416331的博客
12-21 756
本文将介绍CSRF攻击以及防范CSRF的常见方法 一、什么是CSRF攻击 1.1 背景 1.2 造成的危害 1.3 攻击原理 1.4 CSRF攻击的特点 1.5 CSRF攻击是如何避开同源策略的? 二、常见的CSRF攻击方式 2.1GET类型的CSRF攻击 2.2 POST类型的CSRF攻击 三、CSRF防御方式 3.1尽量使用POST,限制GET 3.2token ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值