CSRF跨站请求伪造

最新推荐文章于 2024-10-10 13:40:52 发布
最新推荐文章于 2024-10-10 13:40:52 发布
阅读量604 收藏 1
点赞数 1
文章标签: csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_73170217/article/details/128851572
版权
本文详细介绍了CSRF攻击的原理、危害、挖掘方法及防御措施。阐述了CSRF利用用户已登录的Cookie执行非法操作,指出检查Referer字段和使用token验证是有效的防御手段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、CSRF原理

CSRF:跨站请求伪造、浏览器在你不知情的情况下偷偷的发送了数据包(ajax异步传输,不用刷新页面就可以用JS去发送请求),与xss的区别是,xss是盗取cookie,而csrf则是利用了cookie却无法获取到cookie,但两者的危害都是同样巨大的。
列如:1用户在A网站中修改了自己账户的电子邮箱信息,并且把数据包做成了csrf攻击文件,然后植入到B网页中,1用户把B网页发送给2用户,2用户在登录了A网站的情况下通过点击进入B网页、此时浏览器js代码执行了csrf文件,偷偷的向A网站服务器发起请求,A网站服务器认为这是2用户发的合理请求并执行了,此时2用户的A网站的账户电子邮箱信息则变为1用户的。
所以要被CSRF攻击,受害者必须同时满足两个条件:

登录受信任A网站,并在本地生成Cookie。

在不登出A网站的情况下,访问危险网B站

二、CSRF的危害

主要的危害来自于攻击者盗用用户身份,攻击者能够欺骗受害用户完成该受害者所允许的任一状态改变的操作。

  • 发送恶意请求
  • 模拟用户发送邮件
  • 发消息
  • 添加系统管理员
  • 虚拟货币转账
  • 支付
  • 完成购物
  • 注销甚至登录等操作

三、CSFR如何挖掘

如果没有Referer字段和token,那么网站极有可能存在CSRF漏洞
如果有Referer字段,但是去掉Referer字段后再次重新提交,如果该提交还有效,那么

最低0.47元/天 解锁文章
【项目实战】Web端常见的高风险漏洞与解决方法(CSRF跨站请求伪造 攻击)
本本本添哥
11-25 1270
CSRF(Cross-site request forgery 跨站请求伪造
【DVWA】CSRF跨站请求伪造实战
最新发布
正是修行时
11-25 908
不为圣贤,便为禽兽;莫问收获,但问耕耘。
【web安全】——CSRF跨站请求伪造
wxh的博客
10-05 1458
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求
跨站请求伪造CSRF,Cross-Site Request Forgery)
坚定目标,超越自我
10-10 2710
由于跨站请求通常无法携带自定义头信息,因此检查请求中是否包含自定义头可以作为一种防御手段。使用自定义请求头是一种防御跨站请求伪造CSRF)攻击的技术。这种方法的基本思想是在客户端的请求中添加一个自定义的HTTP头部(Header),服务器端检查这个头部以验证请求的合法性。由于跨站请求通常无法设置自定义头部,这为服务器提供了一种简单的验证机制。
CSRF(跨站请求伪造)
无痕的博客
01-18 8693
csrf跨站请求伪造介绍、csrf攻击在dvwa环境中的应用
[Web安全 网络安全]-CSRF跨站请求伪造
刘鑫磊
09-21 1535
CSRF跨站请求伪造
csrf跨站请求伪造详解
m0_69962105的博客
11-24 1303
钓鱼网站搭建一个类似正规网站的页面用户点击网站链接,给某个用户打钱打钱的操作确确实实提交给了中国银行的系统,用户的钱也确实减少但是唯一不同的是,账户打钱的账户不是用户想要打钱的目标账户,变成了其他用户内部本质在钓鱼网站的页面针对对方账户,只给用户提供一个没有name属性的普通input框然后在内部隐藏一个已经写好带有name属性的input框如何避免上面的问题csrf跨域请求伪造校验网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识。
网络安全进阶学习第三课——CSRF跨站请求伪造
p36273的博客
07-01 1748
漏洞风险存在;伪装数据操作请求的恶意链接或者页面;诱使用户主动访问或登录恶意链接,触发非法操作;
CSRF(Cross-site request forgery)跨站请求伪造
weixin_59496235的博客
03-26 1080
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。我们通常是给受害者发送一个链接,而在正常的情况下人们通常不会点击一个很长的、看起来就不正常的链接,这个就需要利用到社会工程学,学会利用人们的心理来达到我们的目的,诱使他们点击我们构造的链接,这种情况下我们需要把长的链接转化成一个短的链接,而网上正好可以找到很多这种在线的工具。
什么是CSRF跨站请求伪造
qq_75183444的博客
07-15 566
什么是CSRF,为什么陌生链接不能点?
CSRF 跨站请求伪造
m0_69043895的博客
04-19 1266
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
CSRF跨站请求伪造教程:OWASP CSRFTester工具使用与安全测试
### CSRF跨站请求伪造知识点详述 #### CSRF跨站请求伪造定义 CSRF,即跨站请求伪造(Cross-Site Request Forgery),是一种安全漏洞,攻击者利用用户对网站的信任,诱使用户在已经认证的会话中执行非预期的操作。当...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值