CSRF攻击

最新推荐文章于 2025-01-25 15:25:40 发布
原创 最新推荐文章于 2025-01-25 15:25:40 发布 · 698 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf

一、什么是CSRF 攻击?
全称是Cross Site Request Forgery,即跨站请求伪造。利用用户已经登录的状态,跨站点发起伪造的请求。一般会诱导用户点击进黑客的网页。
特点

  • 跨站点的请求
  • 请求是伪造的
  • 利用用户的登录状态

二、CSRF类型
2.1 按照请求类型分为GET型和POST型。
例: GET型
目标网站A:www.a.com、恶意网站:B:www.b.com
攻击步骤

  • 在恶意网站上编写代码<img src=http://www.a.com/blog/del?id=1>
  • 用户登录目标网站
  • 诱导用户点击恶意链接进入恶意网站(如:吸引人的图片)
  • 恶意网站利用用户的已登录状态删除了id为1的博客,CSRF攻击发生

例: POST型
同上,黑客将自定义表格上传到服务器,向服务器中添加日志

2.2 按照攻击方式,分为HTML CSRF攻击、JSON HiJacking攻击、Flash CSRF攻击。
HTML CSRF攻击:HTML中能够设置src/href等链接地址的标签都能发起GET请求

三、危害

  • 篡改目标网站的信息
  • 盗用隐私数据
  • 传播CSRF蠕虫
  • 在页面中生成浮窗广告
  • 删除目标文件、恶意篡改数据

四、防范措施

  • 检查HTTP Referer字段是否同域
    Referer的来源应该是站内网址,如果发现地址异常,可认为是CSRF攻击。
  • 限制Session Cookie的生命周期
  • 使用验证码
  • 使用一次型token
    token会随着表单的提交而提交,然后服务器校验token的合法性。

五、总结
CSRF(Cross-site request forgery), 即跨站请求伪造,指的是黑客诱导用户点击链接,打开黑客的网站,
然后黑客利用用户目前的登录状态发起跨站请求。

参考文献
《Web前端黑客技术揭秘》

网络安全初探-CSRF攻击方式&&防御手段
LYFlied的博客
05-19 1677
文章目录一、CSRF二、常见的攻击类型1.GET类型CSRF2.POST类型CSRF3.链接类型CSRF三、CSRF的特点四、防护策略1.同源检测Origin Header和Referer HeaderSamesite Cookie属性2.提交时要求附加本域CSRF Token双重Cookie验证 一、CSRF CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭
2021-03-31
m0_55876880的博客
03-31 297
什么是 CSRF 攻击?如何防范 CSRF 攻击CSRF 攻击指的是跨站请求伪造攻击攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被 攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态,绕过后台的用户验证,冒充用户向服务器执行一些操作。 CSRF 攻击的本质是利用了 cookie 会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充。 一般的 CSRF 攻击类型有三种: 第一种是 GET 类型CSRF 攻击,比如在网站中的一个 img 标签里构建一个
浅谈CSRF攻击方式
03-09
浅谈CSRF攻击方式浅谈CSRF攻击方式浅谈CSRF攻击方式浅谈CSRF攻击方式浅谈CSRF攻击方式
CSRF(跨站请求伪造)的理解
weixin_33720078的博客
03-25 256
2019独角兽企业重金招聘Python工程师标准>>> ...
CSRF攻击:陌生链接不要随便点
知之为知之,不知为不知
10-08 1128
我们结合一个真实的关于 CSRF 攻击的典型案例来分析下,在 2007 年的某一天,David 无意间打开了 Gmail 邮箱中的一份邮件,并点击了该邮件中的一个链接。过了几天,David 就发现他的域名被盗了。不过几经周折,David 还是要回了他的域名,也弄清楚了他的域名之所以被盗,就是因为无意间点击的那个链接。 那 David 的域名是怎么被盗的呢? 我们结合下图来分析下 David 域名的被盗流程: David 域名被盗流程 先 David 发起登录 Gmail 邮箱请求,然后 Gma
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
Flask模拟实现CSRF攻击的方法
09-20
# Flask 模拟实现 CSRF 攻击方法详解 CSRF(Cross Site Request Forgery,跨站请求伪造)是一种网络攻击手段,它利用了用户已经登录并持有有效会话(如 Cookie)的情况,使得攻击者可以在不知情的情况下,通过诱使...
Web安全之CSRF攻击详解与防护
J老熊
09-08 2384
CSRF攻击是指黑客通过欺骗用户在不知情的情况下向受信任的服务器发送请求,从而执行用户并未授权的操作。由于浏览器的同源策略,浏览器会自动携带当前登录用户的身份凭证(如Cookie),导致服务器误以为请求是合法用户发出的。用户登录电商系统,并在浏览器中保持会话(比如通过Cookie保存登录状态)。攻击者构造一个恶意网站,诱导用户访问该网站。恶意网站通过用户的浏览器向电商系统发送请求,例如提交订单、修改账户信息等。由于用户已经登录,服务器在收到请求时会认为是合法请求,从而执行攻击者的恶意操作。
前端 | 浏览器安全:XSS攻击CSRF攻击、中间人攻击
2502_90366796的博客
01-25 1300
本博客介绍了三种常见的Web安全攻击:XSS、CSRF和中间人攻击(MITM)。 XSS攻击攻击者注入恶意脚本,窃取数据或篡改页面。 CSRF攻击:通过伪造请求执行未授权操作,防范方法包括使用随机令牌、检查Referer头部和双重认证。 中间人攻击攻击者拦截通信数据,防范方法包括使用HTTPS、VPN、证书验证和多因素认证。
常见的web攻击方式之CSRF
qq_16049879的博客
03-10 257
定义 CSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见的Web攻击 它利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。 操作实现 用户已经登录了站点A,并在本地记录了 cookie 在用户没有登出站点A的情况下(也就是 cookie生效的情况下),访问了恶意攻击者提供的引诱危险站点B(B站点要求访问站点A) 站点A没有做...
CSRF攻击分类
blrk
05-02 1594
CSRF是伪造客户端请求的一种攻击CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们团队的剑心使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台管理员添加的CSRF漏洞等,08年CSRF攻击方式开始在BLOG、SNS等大型社区类网站的脚本
CSRF漏洞原理攻击与防御(非常细)
dzqxwzoe的博客
07-18 2865
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
csrf攻击
最新发布
08-28
CSRF攻击的核心在于攻击者能够诱导用户访问一个恶意网站或点击一个恶意链接,该链接会向目标网站发起请求。由于用户已经登录目标网站,其会话凭证(如Cookie)会自动附加到请求中,服务器端误认为这是用户合法的操作...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值