一文深入了解CSRF漏洞

最新推荐文章于 2025-03-17 08:53:21 发布
最新推荐文章于 2025-03-17 08:53:21 发布
阅读量1.5k 收藏 2
点赞数
文章标签: csrf 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43025534/article/details/130554850
版权

1.1. 定义

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

跨站请求伪造攻击,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个用户自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求是发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的

Note

简单来说就是你点击我构造的恶意链接,我就可以以你的名义去发起一个http请求

1.2. 举例

  1. 假如X银行用以执行转账操作的URL地址如下

     https://bank.example.com/withdraw?amount=1000&to=PayeeName

  2. 一个恶意攻击者在另一个网站中https://evil.com/中放置如下代码

     <img src="https://bank.example.com/withdraw?amount=1000&to=Bob" />

  3. 如果有登陆了X银行的用户访问恶意站点https://evil.com/,那么就会携带cookie去请求对应的转账URL,向Bob转账1000元

Note

这种恶意的网址可以有很多种形式,藏身于网页中的许多地方,只要能让受害者发起对应的请求即可,如上述中的转账请求。

攻击者也不需要控制放置恶意代码的网站,例如他可以将这种地址藏在各大论坛,博客等任何用户生成内容的网站中,这意味着如果服务端没有合适的防御措施的话,用户即使访问熟悉的可信网站也有受攻击的危险

通过例子也能够看出,攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是欺骗用户的浏览器,让其以用户的名义执行操作

1.3. 攻击流程

image.png

具体的攻击流程如下:

  1. 用户正常登录web服务,并一直保持在线
  2. 服务器返回用户凭证Session ,并将其保存在Cookie中
  3. 攻击者生成payload,并放置在用户可访问的地方
  4. 攻击者诱导用户点击在第3步放置的链接,此时用户一直在线,且是用同一浏览器打开(保证Cookie未失效)
  5. 用户点击恶意链接
  6. 恶意链接向服务器请求,由于用户Cookie未失效,就携带用户Cookie访问服务器
  7. 服务器收到请求,此时用户Cookie 未失效,并判定为“用户”发起的正常请求,并做出响应

1.4. 分类

1.4.1. GET型

这种是最容易利用的,相比于POST型来说,攻击面也大很多,比如上述CSRF转账例子中就是GET型的

在web应用中,很多接口通过GET进行数据的请求和存储,如果未对来源进行校验,并且没有token保护,攻击者可以直接通过发送含有payload的链接进行诱导点击;亦可以通过评论区或类似功能处发布图片,通过修改img地址的方式保存至页面,用户访问便会进行自动加载造成攻击

<!-- 不论什么手段,只要能让受害者访问一个链接即可 -->
<img src="https://bank.example.com/withdraw?amount=1000&to=Bob" />

1.4.2. POST-表单型

相比于GET型,这种就要多很多,因为很多开发在提交数据的功能点时都会采用POST,如创建用户、创建文章、发消息等,利用起来也相对麻烦点

Note

测试时,为了扩大危害,可以尝试将POST数据包转换成GET数据包,后端采用如@RequestMaping("/")这种同时接受POST和GET请求的话,就可以成功

利用起来无非也是构造一个自动提交的表单,

最低0.47元/天 解锁文章
初始安全
关注
{% csrf_token %}使用无效的问题
weixin_43959331的博客
04-10 6700
关于{% csrf_token %}使用后无效果的解决方法。 以下解决方法纯本人学习过程结合百度得到的认为可行的方法,若大家还有其它解决方法或者有错误的地方,可以在评论中指导指导笔者。 一般情况我们使用pycharm创建一个DJango项目时,在项目根目录下的同名文件夹的setting.py文件里我们通常都能看到有一条设置 'django.middleware.csrf.CsrfViewMidd...
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 2678
本篇总结归纳CSRF漏洞
我要学ASP.NET MVC 3.0(十三): MVC 3.0 防止跨站点请求伪造 (CSRF) 攻击
weixin_30791095的博客
08-08 197
概述 众所周知,ASP.Net MVC程序在浏览器运行时产生了标准的Html标签,包括浏览器要发送的关键数据等内容都在Html内容里面,听起来不错,但是假如我们仿造类似的Html内容,更改里面关键数据,在浏览器运行起来会怎么样呢?好下面我们就做这样一个例子。 CSRF攻击例子 首先我们拿以前做好的person/edit作为例子 先看控...
如何在Django中设置CSRF Token
最新发布
字节王德发
03-17 1168
在现代的Web开发中,安全性是至关重要的。CSRF(跨站请求伪造)攻击是常见的安全威胁之一。为了抵御这种攻击,Django提供了强大的CSRF保护机制。本篇文章将详细介绍如何在Django中设置和使用csrf_token,帮助你更好地理解这一重要安全特性。要理解CSRF的概念。CSRF是一种攻击方式,攻击者通过伪造用户的请求来执行不当操作。比如,当用户在某个网站上登录后,攻击者可以利用用户的身份发送恶意请求。为了防止这种情况,Django通过CSRF Token来确保请求的合法性。
解决CSRF Failed: CSRF token from the ‘X-Csrftoken‘ HTTP header has incorrect length的错误
m0_66119504的博客
02-25 1721
在settings.py文件中加入。浏览器中的csrftoken
CSRF token is incorrect 问题解决
安全小白的博客
01-11 1870
CSRF token is incorrect问题解决
CSRF漏洞
qq_63267612的博客
08-07 975
而如果黑客要对银行网站实施 CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行时,该请求的 Referer 是指向黑客自己的网站。因此,要防御 CSRF 攻击,银行网站只需要对于每一个转账请求验证其 Referer 值,如果是以 bank.example开头的域名,则说明该请求是来自银行网站自己的请求,是合法的。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。利用工具进行CSRF检测。...
一文了解csrf漏洞
hacker3062的博客
09-08 437
自定义属性的方法也是使用token并进行验证,和前一种方法不同的是,这里并不是把token以参数的形式置于HTTP请求之中,而是把它放到HTTP头中自定义的属性里。通过XMLHttpRequest这个类,可以一次性给所有该类请求加上csrftoken这个HTTP头属性,并把token值放入其中。这样解决了前一种方法在请求中加入token的不便,同时,通过这个类请求的地址不会被记录到浏览器的地址栏,也不用担心token会通过Referer泄露到其他网站。
CRSF漏洞与防御全攻略:一文看懂攻击全过程及防御策略
![CRSF漏洞与防御全攻略:一文看懂攻击全过程及防御策略]...## 1.1 CSRF漏洞基本概念 跨站请求伪造(CSRF,Cross-Site Request Forgery)是一种常见于Web应
CORS漏洞及其防御措施:保护Web应用免受攻击
qq_33163046的博客
09-14 2751
在当今互联网时代,Web 应用程序的架构日益复杂。一个后端服务可能对应一个前端,也可能与多个前端进行交互。跨站资源共享(CORS)机制在这种复杂的架构中起着关键作用,但如果配置不当,就会引发严重的安全漏洞,对用户数据和系统安全构成巨大威胁。CORS(Cross-Origin Resource Sharing)是一个Web浏览器的安全特性,允许或阻止一个网页从不同的域加载资源。通过设置特定的HTTP头,服务器可以控制哪些域能够访问其资源,从而避免潜在的安全风险。
CSRF漏洞(初步理解)
qq_43814486的博客
05-09 721
概念 Cross-site request forgery简称“CSRF”(跨站请求伪造)也被称为one-click attack 或者 session riding。 攻击思路 以淘宝为例,目的修改密码。 打开自己的淘宝,进入修改密码的页面,填写完信息后发送请求,然后把这个URL用抓包的方式获取下来,然后发送给对方。 成功的条件: 1.对方已经打开淘宝。 2.对方点击你的连接。 只要点击了这个...
ajax csrf错误,django+ajax+post出现csrftoken错误
weixin_34395361的博客
08-06 287
为什么会出现csrf错误呢?我在data参数里面加入了csrf啊?Forbidden (CSRF token missing or incorrect.): /account/test/[20/Oct/2016 18:10:44] "POST /account/test/ HTTP/1.1" 403 2274ajax代码 var csrftoken = Cookies.get('csrftoken...
IPv6公网访问内网可道云,安卓和Win成功,iOS失败,csrf_token error
wudongzhiyewoniu的博客
04-14 2304
这个👆🏻标题已经高度凝练概括了。全网没有搜到类似情况,有类似的可以交流或者帮我解答。 家里已经能获取到公网IPv6地址了,路由是openWRT,负责拨号。 树莓派上布了个可道云,通过WiFi上网,能分配到IPv6和IPv4地址(240和192开头)。 openWRT放开对内访问,分别基于多个操作系统和浏览器测试访问可道云,访问前均确认已经获取到了ipv6地址,出现了有意思的情况: ...
HttpClient 调用远程服务,POST 请求 ,x-csrf-token验证失败,报CSRF token validation failed 问题解决
热门推荐
yinyulong123的博客
04-17 1万+
首先通过 HttpGet 来获取x-csrf-token,代码如下:HttpGet httpget = new HttpGet(url); httpget.setHeader("Content-Type", "application/x-www-form-urlencoded;charset=UTF-8"); httpget.setHeader("Authorization", code); ht...
Django CSRF Token缺失或不正确
qq_49086419的博客
10-17 988
这是最常见的原因之一。确保在每个需要进行CSRF验证的表单中都添加了标签,以生成隐藏字段并包含CSRF令牌。:如果CSRF令牌已经过期,那么在提交表单时会导致验证失败。通常,可以通过刷新页面来获取新的CSRF令牌。:在AJAX请求中,需要手动将CSRF令牌添加到请求头中。例如,使用JavaScript获取CSRF令牌并将其添加到AJAX请求的头部。:如果你的Django应用部署在使用了反向代理的服务器上,可能需要配置代理服务器以确保它不会干扰CSRF令牌的传递。:确保文件中的MIDDLEWARE。
Web漏洞CSRF浅谈
小赵同学的博客
07-13 417
CSRF,中文名称跨站点请求伪造 ,跟XSS攻击一样,存在巨大的危害性 。利用csrf,攻击者可以盗用你的身份,以你的名义发送恶意请求。 你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。............
【报错解决】CSRF Token: The CSRF tokens do not match.
LGQ的博客
08-08 609
在自己云服务器部署 "ihatemoney"这个记账软件,然后Chrome访问网站–>注册账户–>输入所有信息。有人在github提了这个issue, 开发者给了一个简短的解释。有兴趣的同学可以看看。最近在鼓捣前端,想做个项目练练手。
【web安全】深入理解CSRF漏洞的原理及利用方式
weixin_34390996的博客
09-11 385
对于web客户端的攻击,除了首当其冲的XSS以外,CSRF也是一个非常重要的安全漏洞CSRF漏洞是跨站请求伪造,也有少数文章中称其XSRF,其实指的是同一个东西。这个漏洞的原理要分两层,狭义的CSRF和广义的CSRF。狭义的CSRF是指在黑客已经将代码植入受害用户的浏览器访问的页面的前提下,以“受害用户”的身份向服务端发起一个伪造的ht...
部署Django应用:环境配置详解
读者可以通过学习这些章节深入了解如何在不同环境中配置Django,确保应用程序的稳定性和安全性。每一步设置都直接影响到应用程序的性能和用户体验,因此在部署过程中需仔细斟酌。通过理解并实践这些设置,开发者可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值