简述跨站请求伪造--CSRF

最新推荐文章于 2023-09-01 21:11:39 发布
最新推荐文章于 2023-09-01 21:11:39 发布
阅读量185 收藏
点赞数
分类专栏: 技术 文章标签: 技术

跨站请求伪造–CSRF

简介

CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作。
也就是说,攻击者借助合法用户的名义,在用户不知情的情况下发送了恶意(非用户意愿)的请求。服务器认为规则是合法的,但是用户却完成了一个恶意的操作(非用户意愿),比如评论,发邮件、购买商品等。

原理

  1. 用户使用账号密码登录网站A
  2. 网站会产生一个用于记住并保持账户状态的cookie。
  3. 用户在没有退出(此时没有删除cookie)网站A的时候访问了网B。
  4. 网站B返回一些攻击性代码,并发送访问网站A的请求。
  5. 用户浏览器在就收到攻击性代码之后,在用户不知情的情况下携带用户登录网站A时产生的cookie,用合法的身份恶意访问网站A。

在这里插入图片描述

解决方案

  1. 验证http Referer字段
    根据HTTP协议,HTTP头中的字段Referer记录了HTTP请求的来源地址。用户在访问网站时在referer中记录http请求的来源地址(登录是的来源地址),以后的每次请求都需要验证referer是否正确(即与登录时的是否相同),因为攻击者如果要实行csrf攻击的话需要在自己的网站构造请求,那么referer中记录数据就是不相同的,攻击时请求验证不同过也就访问失败了。

  2. 构造不可预见性URL
    CSRF能够攻击成功,其本质原因是请求的URL被攻击者猜到,构造不可预见性的url,在url中加入token,同时也存入cookie中存入token值,CSRF攻击只能利用cookie却不能获得里面的值,所以当发出请求时,判断url中的token值和cookie中取出的值是否一致,如果不一致就拒绝请求。
    当然token也需要进行保密,建议使用使用post方式发生请求且token可不放在url中,放在要提交表单的隐藏域中进行提交,或者ajax形式提交。

JS 前端常见的攻击
ct_ts的博客
04-10 2782
前端安全问题一直是面试经常问到的问题,也是我们平时建站会遇到的问题,今天来记录一下前端安全方面的相关知识。 前端经常遇到的攻击有 XSS CSRF 网络劫持 控制台注入 XSS攻击(跨站脚本攻击) 问题: 简单来说,XSS指的就是代码注入,它利用的是html的一些漏洞来进行注入脚本,比如插入一个script标签<script>,或者直接进行页面弹窗,更有可能通过你的inp...
CSRF spring mvc 跨站请求伪造防御
没事写代码
03-30 6563
CSRF CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
跨站请求伪造CSRF
weixin_30466039的博客
08-18 184
CSRF即Cross Site Request Forgery(跨站请求伪造)。 用户在客户端(浏览器)上任何一个操作如提交表单、击超链接、或者是页面资源的显示都是向服务器发起请求 而得以实现的,所以攻击者往往都是可以通过模拟真实用户的请求来“代替”用户完成操作的。 例如A用户删除id为18的文章的请求地址为:www.eco.com/delete?id=18 那么攻击者可以构造一个ht...
跨站请求伪造(CSRF)-简述
weixin_30483697的博客
10-27 177
跨站请求伪造(CSRF)-简述 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。[1] 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏...
跨站请求伪造 【安全方面】
u012045045的博客
06-21 375
一级类: 跨站脚本二级类:跨站请求伪造数量: 126详细信息:    跨站请求伪造(CSRF)是伪造客户端请求的一种攻击。应用程序允许用户提交不包含任何保密信息的请求,将可能导致CSRF攻击。    例如:以下代码片段用于银行转账功能,对于该重要敏感的操作没有进行相应防护,将易于导致跨站请求伪造攻击。    &lt;form method="GET" action="/transferFunds ...
DVWA系列---CSRF(Cross Site Request Forgery)跨站请求伪造
野原新之助
01-26 716
文章目录一、前言CSRF二、Low级别1、演示2、源码三、Medium级别1、演示2、源码四、High级别1、演示 一、前言 CSRF CSRF(Cross Site Request Forgery)名为“跨站请求伪造”,意思是黑客伪装成用户的身份,利用目标服务器对用户的信任(即用户已经登入,且存有Cookie)进行数据请求或数据更改,达到攻击的目的。 CSRF形成的原因: 1、用户在登陆了网站后...
CSRF跨站请求伪造)攻击与防御
wohainengqiao的博客
08-27 260
文章目录简介攻击流程(简述)防御CSRF 简介 CSRF跨站请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。 你可以这样理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 攻击流程(简述) 前提:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为W
请求伪造漏洞CSRF
weixin_44558065的博客
07-12 965
CSRF 概述:攻击者可伪造当前用户行为,让目标服务器误以为请求由当前用户发起,并利用当前权限实现业务请求伪造 相对的,也存在服务器端请求伪造(SSRF),攻击者可构造由服务器端发起请求的安全漏洞,可以让服务器执行一些在用户侧无法实现的效果,如内网探测、加载特定图片、文件等 两者区别在于伪造的身份不同,执行的效果和漏洞存在不同 CSRF攻击 流程:攻击者伪造一个页面,页面功能为伪造当前用户的请求,当用户击恶意页面时,会自动向当前用户的服务器提交攻击者伪造的业务请求,该请求是以用户身份发起,所以也会以用户
跨站请求伪造-CSRF
weixin_45634365的博客
03-11 475
一、CSRF简介 跨站请求伪造(Cross-Site Request Forgery),缩写为CSRF或者XSRF,也被称为“One Click Attack”或者“Session Riding”,是一种对网站的恶意利用。CSRF与XSS感觉上相似,但却是完全不一样的攻击方法,XSS利用站内的信任用户,而CSRF则将自己伪装成来自受信任用户的请求,从而利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行,因此对其进行防范的资源也较少,难以防范,被认为比XSS更具危险性。 简单地说,CSRF漏洞的成
CSRF - 跨站请求伪造
weixin_46601374的博客
03-01 5762
什么是CSRF? CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 实说白了..
渗透测试技术----常见web漏洞--跨站请求伪造攻击原理及防御
wwl012345的博客
08-18 1778
一、跨站请求伪造攻击介绍 1.跨站请求伪造攻击简介 跨站请求伪造(Cross-site request forgery)简称为CSRF,这是一种对网站的恶意利用。CSRF实际上就是攻击者通过各种方法伪装成目标用户的身份,欺骗服务器,进行一些非法操作,但是这在服务器看来却是合法的操作。 2.CSRF与XSS的区别 尽管CSRF听起来很像XSS,但是却又与XSS有本质的区别。最本质的区别就是XS...
跨站请求伪造攻击的原理及防御
天外来客的博客
08-28 3890
攻击原理 跨站请求伪造(Cross Site Request Forgery,简称CSRF)能够形成的根本原因是利用了浏览器cookie自动发送的特。如果浏览器cookie中保存了用户信息,该攻击利用了cookie共享机制获取了用户信息,因此可以正常通过系统的鉴权认证,实现非法操作。 下面以网上银行转账的例子来说明该攻击的流程。 1.小明在网上银行(bank.com)转账,浏览器cookie记...
跨站请求伪造CSRF)攻击与防御原理
最新发布
weixin_58954236的博客
09-01 1629
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。
跨站请求伪造CSRF)攻击原理及预防手段
慢慢
06-02 6145
随机化Token(CSRF Token):Token是用于验证网站请求者身份的一种机制,可以防止CSRF攻击。该Token会在每次访问页面时刷新,以确保每次请求都需要新的Token。例如,在web应用程序中,可以通过hidden field的方式将Token加入到表单中,提交时验Referer检查:在服务端校验请求头中的Referer字段,确保请求是来自合法的来源页面,常用于辅助Token机制的验证。
CSRF(Cross-site request forgery 跨站请求伪造)
myfuturein的专栏
10-08 7080
CSRF(Cross-site request forgery 跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CS
跨站请求伪造
weixin_30387663的博客
01-04 178
1. 什么是跨站请求伪造CSRF)  CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站内的信任用户,而CSRF则通过伪装来自受信任用户的请求来...
跨站请求伪造CSRF
FEWY的博客
11-26 940
CSRF 介绍 CSRF,是跨站请求伪造(Cross Site Request Forgery)的缩写,是一种劫持受信任用户向服务器发送非预期请求的攻击方式。 通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。 CSRF 攻击示例 这里有一个网站,用户可以看...
理解XSS与CSRF:攻击原理与防御策略
CSRF跨站请求伪造)是一种攻击方式,攻击者诱导用户在他们当前登录的受信任网站上执行非预期的操作。攻击者通过构造一个包含恶意请求的链接或表单,当用户在不知情的情况下击或提交,浏览器会以用户的身份向目标...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值