CSFR(跨站请求伪造)攻击与防御

最新推荐文章于 2025-06-14 04:17:45 发布
原创 最新推荐文章于 2025-06-14 04:17:45 发布 · 5.1k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CSFR #跨站请求伪造 #攻击 #防御

本文详细介绍了CSRF(跨站请求伪造)攻击,包括其定义、可能造成的危害,以及当前的漏洞状况。通过示例解释了CSRF攻击的三种常见模式,指出攻击源于WEB的隐式身份验证机制。最后,讨论了服务端的防御策略,如Cookie Hashing、验证码和One-Time Tokens,强调服务端防御更为有效。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、CSRF是什么?

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

二、CSRF可以做什么?

你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

三、CSRF漏洞现状

CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别 爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI…而 现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。

四、CSRF的原理

下图简单阐述了CSRF攻击的思想:

在这里插入图片描述

从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:

  1. 登录受信任网站A,并在本地生成Cookie
  2. 在不登出A的情况下,访问危险网站B

看到这里,你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。是的,确实如此,但你不能保证以下情况不会发生:

  1. 你不能保证你登录了一个网站后,不再打开一个tab页面并访问另外的网站
  2. 你不能保证你关闭浏览器了后,你本地的Cookie立刻过期,你上次的会话已经结束。(事实上,关闭浏览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了…)
  3. 上图中所谓的攻击网站,可能是一个存在其他漏洞的可信任的经常被人访问的网站

上面大概地讲了一下CSRF攻击的思想,下面我将用几个例子详细说说具体的CSRF攻击,这里我以一个银行转账的操作作为例子(仅仅是例子,真实的银行网站没这么傻:>)

示例1:

银行网站A,它以GET请求来完成银行转账的操作,如:
http://www.mybank.com/Transfer.php?toBankId=11&money=1000

危险网站B,它里面有一段HTML的代码如下:

<img src="http://www.mybank.com/Transfer.php?toBankId=11&money=1000">

首先,你登录了银行网站A,然后访问危险网站B,噢,这时你会发现你的银行账户少了1000块…

为什么会这样呢?原因是银行网站A违反了HTTP规范,使用GET请求更新资源。在访问危险网站B的之前,你已经登录了银行网站A,而B中 的以GET的方式请求第三方资源(这里的第三方就是指银行网站了,原本这是一个合法的请求,但这里被不法分子利用了),所以你的浏 览器会带上你的银行网站A的Cookie发出Get请求,去获取资源“http://www.mybank.com /Transfer.php?toBankId=11&money=1000”,结果银行网站服务器收到请求后,认为这是一个更新资源操作(转账 操作),所以就立刻进行转账操作…

示例2:

为了杜绝上面的问题,银行决定改用POST请求完成转账操作。

银行网站A的WEB表单如下:

	<form action="Transfer.php" method="POST">
    <p>ToBankId: <input type="text" name="toBankId" /></p>
    <p>Money: <input type="text" name="money" /></p>
    <p><input
最低0.47元/天 解锁文章

200万优质内容无限畅学
跨站请求伪造
Chenamao的博客
08-04 2385
目录 跨站请求伪造(Cross site Request,CSRF) 基本概念; 关键点: 目标: 构建CSRF场景: 攻击原理及过程: CSRF和XSS区别联系: 口令安全 –口令破解 口令(密码)安全威胁 口令的破解方式 ☺ 字典破解 ☺ 口令破解的方式 ☺ 口令破解情况 ☺ Hydra –远程口令破解神器 ☺ 远程口令爆破实例 ☺ 离线密码破解 ☺ 网站后台爆破 跨站请求伪造(Cross site Request,CSRF) 实例:heike用户可以伪造admi
跨站请求伪造(CSRF)漏洞详解
CoffeMilk的博客
09-21 1561
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求攻击方式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击
CSRF(跨站请求伪造)详解
tubug的博客
06-08 755
CSRF(Cross-Site Request Forgery)是指攻击者诱导用户在已登录某网站的情况下,执行非本意的操作(如转账、改密码等)。它依赖于用户已登录状态下浏览器自动携带 Cookie 的特性。 攻击者发现目标网站存在 CSRF 漏洞,关键操作接口未对请求来源进行身份校验。 攻击者构造包含恶意请求的 Payload(如自动提交的表单、恶意图片、JS 脚本等),并嵌入到钓鱼网页或第三方平台。 通过社交工程手段(如钓鱼邮件、社交消息、伪装广告等)引导用户点击该页面或链接。 用
网络安全防护:跨站请求伪造(CSRF)
最新发布
xike1024的博客
06-14 1284
跨站请求伪造(CSRF):攻击者用来通过用户浏览器冒充用户身份向服务器发送伪造请求并被目标服务器成功执行的漏洞
跨站请求伪造防御
wangyunfeis的博客
08-16 382
title: 跨站请求伪造防御 date: 2017-08-14 16:22:41 categories: 网络安全 tags: csrf --- 背景 最近安全问题越来越多,公司软件也面临出海,刚开始公司软件大部分部在公安内网,安全问题没有太多重视。最近买了安全公司的扫描软件,一扫扫出很多安全问题,其中有一个是跨站请求伪造问题。 常见的攻击模式 GET请求利用 使用GET请求
CSFR攻击
Tech in Pieces
06-18 395
引子: 看到一段php代码中有@csrf 想知道这是什么意思 CSRF: Cross-site request forgery – 跨站请求伪造,也被称为:one click attack/session riding. 他做什么呢? 利用了我们的登录状态或者授权状态(cookie/还为登出某些正规网站(比如银行)),诱导我们点击一些网址 然后获取利益。 两个关键词:利用:不是窃取–因为真的很难窃取,但是如果你保持在其他网站的登陆状态或者你有cookie在某些正规网站,而且诱导你点击某些不正规链接,这些链接
【DVWA】CSRF跨站请求伪造实战
「我唯一会的和擅长的只有网络安全,如果我不能在我最擅长的事情上取得成功,那么我根本不知道,我的人生还有什么意义。」
11-25 942
不为圣贤,便为禽兽;莫问收获,但问耕耘。
跨站请求伪造解决方案
水调码头
07-28 1257
近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。前一篇博客介绍了启用了不安全的HTTP方法的解决方案,有兴趣请移步启用了不安全的HTTP方法解决方案。1.跨站请求伪造首先,什么是跨站请求伪造跨站请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造
了解XSS和CSRF攻击防御
m0_66268916的博客
03-27 1418
攻击者诱使用户访问一个恶意网页或点击一个恶意链接,在用户浏览器中发起一次HTTP请求,该请求会自动携带用户在其他网站中的身份认证信息,如Cookie等。DOM-based XSS 攻击: 通过修改页面的DOM结构来触发漏洞,这比如说客户端从url中提取数据并且在本地执行,如果用户在客户端输入的数据包含了恶意的js脚本的话,但是这些脚本又没有做过任何过滤处理的话,那么我们的应用程序就有可能受到DOM-based XSS攻击。用户在浏览该页面时,浏览器会执行该恶意代码,从而使攻击者得以窃取用户信息。
跨站请求伪造(CSRF)
jkzyx123的博客
07-14 1066
目标网站会误认为该请求是合法的用户行为,并执行相应的操作。恶意请求执行:受害者在浏览器中打开了恶意页面后,其中的自动执行的请求会被发送到购物网站。由于浏览器会自动携带受害者的身份验证凭证,购物网站会误以为这是合法的请求,并执行购买商品的操作。CSRF(Cross-Site Request Forgery)跨站请求伪造是一种常见的网络安全攻击,它利用用户在已经登录的网站上的身份验证信息来执行恶意操作。攻击者构造恶意页面:攻击者创建一个恶意网页,其中包含一个自动执行的请求,向购物网站发送一个购买商品的请求
CSRF - 跨站请求伪造
weixin_46601374的博客
03-01 5860
什么是CSRF? CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 实说白了..
CSRF-跨站请求伪造
Echo__h的博客
05-02 142
CSRF(Cross-Site Request Forgery),指攻击者诱使用户执行他们不打算执行的操作。攻击者利用服务器对用户的信任,欺骗受害者向服务器发起受害者不知情的恶意请求。一般场景中,攻击者会伪造一个恶意链接诱使用户点击。
CSRF(跨站请求伪造)
无痕的博客
01-18 8757
csrf跨站请求伪造介绍、csrf攻击在dvwa环境中的应用
CSRF(Cross-site request forgery)跨站请求伪造
weixin_59496235的博客
03-26 1103
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。我们通常是给受害者发送一个链接,而在正常的情况下人们通常不会点击一个很长的、看起来就不正常的链接,这个就需要利用到社会工程学,学会利用人们的心理来达到我们的目的,诱使他们点击我们构造的链接,这种情况下我们需要把长的链接转化成一个短的链接,而网上正好可以找到很多这种在线的工具。
XSS、CSFR
03-22
<think>好的,我需要回答用户关于XSS和CSRF攻击的原理及防御措施的问题。首先,我应该回顾用户提供的引用内容,确保信息准确。用户引用了四个来源,其中提到了XSS和CSRF的基本概念、攻击方式以及防御措施。我需要将这些信息整合成结构清晰的回答,同时遵循系统级指令,比如正确使用LaTeX格式和添加引用标识。 首先,XSS攻击的原理是攻击者将恶意脚本注入到网页中,当其他用户访问时,脚本在浏览器执行,盗取信息或篡改页面。引用中提到了存储型、反射型和DOM型三种类型,需要分别解释。防御措施方面,输入过滤、输出转义、CSP策略和HttpOnly标记都是关键点,每个措施对应引用中的不同部分,需要正确标注引用来源。 接下来是CSRF攻击,其原理是利用用户已登录的身份,诱使用户在不知情的情况下执行恶意请求攻击的三个必要条件:用户登录、触发请求请求可预测。防御措施包括同源检测、Token验证、双重Cookie验证和SameSite属性,这些在引用中也有提到,需要正确引用。 最后,生成相关问题时要确保问题主题相关,并且覆盖用户可能感兴趣的方面,比如组合攻击、实际案例、框架防护和检测工具。整个过程需要保持语言自然,避免使用Markdown格式,并确保每个引用标识正确对应。</think>### XSS攻击原理防御措施 #### 一、XSS攻击原理 XSS(跨站脚本攻击)通过将恶意脚本注入网页内容,当其他用户访问时,脚本在浏览器中执行,从而盗取用户数据或篡改页面。主要分为三类: 1. **存储型XSS**:恶意脚本永久存储在服务器(如评论区),用户访问时触发[^3][^4]。 2. **反射型XSS**:恶意脚本通过URL参数传递,服务器未过滤直接返回给用户浏览器执行[^3][^4]。 3. **DOM型XSS**:攻击通过修改页面DOM结构触发,无需服务器参。 #### 二、XSS防御措施 1. **输入过滤**:对用户输入内容进行严格校验,过滤特殊字符如$<, >, &$[^4]。 2. **输出转义**:将动态内容中的特殊字符转换为HTML实体,例如将$<$转为$\<$[^3]。 3. **内容安全策略(CSP)**:通过HTTP头部限制可执行的脚本来源,例如: ```http Content-Security-Policy: script-src 'self' ``` 仅允许同域脚本执行[^1][^4]。 4. **HttpOnly标记**:为Cookie设置HttpOnly属性,阻止JavaScript访问敏感Cookie[^4]。 --- ### CSRF攻击机制防范方案 #### 一、CSRF攻击机制 CSRF(跨站请求伪造)利用用户已登录的身份,诱导其触发恶意请求。例如: - 用户登录银行网站后,访问攻击者页面,该页面自动发送转账请求: ```html <img src="https://bank.com/transfer?to=attacker&amount=1000"> ``` 浏览器携带用户的Cookie发送请求,导致非授权操作[^2]。 攻击必要条件: 1. 用户已登录目标网站。 2. 用户触发请求(如点击链接)。 3. 请求参数可预测[^2]。 #### 二、CSRF防御方案 1. **同源检测**: - 验证HTTP头部的`Origin`或`Referer`字段,确保请求来源合法。 2. **CSRF Token**: - 服务器生成随机Token嵌入表单或请求头,验证请求合法性: ```html <input type="hidden" name="csrf_token" value="RANDOM_STRING"> ``` 3. **双重Cookie验证**: - 将Token存入Cookie和请求参数,服务器对比两者是否一致。 4. **SameSite Cookie属性**: - 设置Cookie的`SameSite`属性为`Strict`或`Lax`,限制跨站请求携带Cookie: ```http Set-Cookie: session=abc123; SameSite=Lax ``` --- ### 相关问题 1. XSS和CSRF组合攻击如何防范? 2. 实际开发中如何通过框架(如React、Django)自动防御XSS/CSRF? 3. 哪些历史安全事件XSS或CSRF相关? 4. 如何通过工具检测网站XSS/CSRF漏洞?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值