CSRF跨站请求伪造

最新推荐文章于 2025-01-07 09:17:21 发布
最新推荐文章于 2025-01-07 09:17:21 发布
阅读量131 收藏
点赞数 1
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45044074/article/details/116211416
版权

什么是跨站请求伪造?(用户访问恶意网站)

1.用户在登录正常网站时,会获取到正常站点的令牌,以cookie形式保存

2.当用户访问恶意网站时,恶意网站通过某种形式去请求正常网站(请求伪造),由于用户已获取此站点的令牌,因此直接进入正常站点,模拟用户操作,进行攻击

防御:

1.设置cookie的samesite   在跨站请求时是否携带cookie

    strict  严格   所有的跨站都不允许携带cookie    但有时可能会导致用户体验不好,比如从csdn跳到牛客让你重新登录

    lax     宽松    超链接/get请求/预加载链接时会携带cookie   其他不携带

   none  无限制

2.验证referer和origin

  页面二次请求,会携带referer和origin请求头

3.验证码  网站进行一些增删改操作时进行验证   会把用户逼疯

4.随机表单数(ssr时)

  • 服务器生成一个session
  • 生成页面时,给表单带一个session过去
  • 提交表单时
  • 服务器先拿cookie进行对比,后台进行再对比session,然后销毁随机数

5.二次验证  当进行一些关键操作时 进行邮箱或者短信验证

 

 

CSRF 跨站请求伪造
m0_69043895的博客
04-19 1288
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
【项目实战】Web端常见的高风险漏洞与解决方法(CSRF跨站请求伪造 攻击)
本本本添哥
11-25 1291
CSRF(Cross-site request forgery 跨站请求伪造
CSRF跨站请求伪造
最新发布
weixin_74075073的博客
01-07 406
input type="hidden" name="account" value="xiaoming" />//name为参数 value为参数的值。避免GET请求进行状态改变,对于任何改变状态的操作,应使用POST请求而不是GET请求。使用SameSite Cookie属性,限制Cookie在跨站请求中的发送;验证HTTP请求的Referer头部,以确保请求是从可信的源发起;参数,或存在验证码等防御行为,则不存在csrf漏洞。,重新发送得到服务器的正确受理,那么可认为存在csrf漏洞。
CSRF--跨站请求伪造
xylyaya的博客
12-31 255
CSRF攻击的全称是跨站请求伪造( cross site request forgery),是一种对网站的恶意利用。 XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。 CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等,甚至盗取你的账号。 用户访问登录正...
CSRF(Cross-site request forgery)跨站请求伪造
weixin_59496235的博客
03-26 1091
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。我们通常是给受害者发送一个链接,而在正常的情况下人们通常不会点击一个很长的、看起来就不正常的链接,这个就需要利用到社会工程学,学会利用人们的心理来达到我们的目的,诱使他们点击我们构造的链接,这种情况下我们需要把长的链接转化成一个短的链接,而网上正好可以找到很多这种在线的工具。
CSRF——跨站请求伪造
weixin_42633359的博客
10-18 262
1、CSRF跨站请求伪造的流程 该过程存在三方:用户客户端、正常网站A、恶意攻击网站B(前提存在CSRF漏洞)   1、用户登陆了正常网站A输入了相关的验证信息。   2、正常网站将cookie写入浏览器,实现了状态保持   3、用户在未退出正常网站的情况下访问了恶意网站   4、恶意网站指定了action=“正常网站的url”,伪造请求参数。   5、用户在主观未知的情况下,再次访问了正常网...
CSRF(跨站请求伪造)
总有人间一两风,填我十万八千梦
01-12 3588
目录 CSRF 原理及过程 概述 关键点 通过银行转账实验理解CSRF 防御 CSRF (Cross-Site Request Forgery) CSRF是一种欺骗受害者提交恶意请求的攻击,攻击者盗用你的身份,向服务器发送请求 原理及过程 小明用浏览器访问受信任网站A,并输入用户名及密码进行登录; 小明的用户信息验证通过后,网站A会返回一个cookie信息给浏览器。 小明没有退出浏览器前,用同一浏览器访问了假网站B B站收到请求后返回攻击性代码,要求访问..
【web安全】——CSRF跨站请求伪造
wxh的博客
10-05 1480
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求
csrf跨站请求伪造详解
m0_69962105的博客
11-24 1315
钓鱼网站搭建一个类似正规网站的页面用户点击网站链接,给某个用户打钱打钱的操作确确实实提交给了中国银行的系统,用户的钱也确实减少但是唯一不同的是,账户打钱的账户不是用户想要打钱的目标账户,变成了其他用户内部本质在钓鱼网站的页面针对对方账户,只给用户提供一个没有name属性的普通input框然后在内部隐藏一个已经写好带有name属性的input框如何避免上面的问题csrf跨域请求伪造校验网站在给用户返回一个具有提交数据功能的页面的时候会给这个页面加一个唯一标识。
CSRF跨站请求伪造
陌茗228.的博客
04-11 174
CSRF跨站请求伪造,利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。 Low: 源代码: <?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_
CSRF - 跨站请求伪造
weixin_46601374的博客
03-01 5773
什么是CSRF? CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 实说白了..
CSRF攻击与防御
qq_41030039的博客
09-29 247
**CSRF:**跨站请求伪造。简单理解就是黑客利用你的身份去访问正常网站,服务器认为这个请求时合法的,然后黑客就以你的名义发送邮件或者转走你的money。这个网站就存在CSRF漏洞。 攻击原理: 用户C访问受信任网站A,输入账号密码登录网站A。 通过验证后,网站A产生cookie信息返回给浏览器,此时用户登录成功,可正常访问A。 用户在未退出A之前,在同一浏览器中,去访问了网站B。 网站B接...
CSRF跨站请求伪造教程:OWASP CSRFTester工具使用与安全测试
### CSRF跨站请求伪造知识点详述 #### CSRF跨站请求伪造定义 CSRF,即跨站请求伪造(Cross-Site Request Forgery),是一种安全漏洞,攻击者利用用户对网站的信任,诱使用户在已经认证的会话中执行非预期的操作。当...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值