CSFR(跨站请求伪造)攻击与防御

最新推荐文章于 2025-06-08 15:29:37 发布
原创 最新推荐文章于 2025-06-08 15:29:37 发布 · 5.1k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CSFR #跨站请求伪造 #攻击 #防御

本文详细介绍了CSRF(跨站请求伪造)攻击,包括其定义、可能造成的危害,以及当前的漏洞状况。通过示例解释了CSRF攻击的三种常见模式,指出攻击源于WEB的隐式身份验证机制。最后,讨论了服务端的防御策略,如Cookie Hashing、验证码和One-Time Tokens,强调服务端防御更为有效。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、CSRF是什么?

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

二、CSRF可以做什么?

你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

三、CSRF漏洞现状

CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别 爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI…而 现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。

四、CSRF的原理

下图简单阐述了CSRF攻击的思想:

在这里插入图片描述

从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:

  1. 登录受信任网站A,并在本地生成Cookie
  2. 在不登出A的情况下,访问危险网站B

看到这里,你也许会说:“如果我不满足以上两个条件中的一个,我就不会受到CSRF的攻击”。是的,确实如此,但你不能保证以下情况不会发生:

  1. 你不能保证你登录了一个网站后,不再打开一个tab页面并访问另外的网站
  2. 你不能保证你关闭浏览器了后,你本地的Cookie立刻过期,你上次的会话已经结束。(事实上,关闭浏览器不能结束一个会话,但大多数人都会错误的认为关闭浏览器就等于退出登录/结束会话了…)
  3. 上图中所谓的攻击网站,可能是一个存在其他漏洞的可信任的经常被人访问的网站

上面大概地讲了一下CSRF攻击的思想,下面我将用几个例子详细说说具体的CSRF攻击,这里我以一个银行转账的操作作为例子(仅仅是例子,真实的银行网站没这么傻:>)

示例1:

银行网站A,它以GET请求来完成银行转账的操作,如:
http://www.mybank.com/Transfer.php?toBankId=11&money=1000

危险网站B,它里面有一段HTML的代码如下:

<img src="http://www.mybank.com/Transfer.php?toBankId=11&money=1000">

首先,你登录了银行网站A,然后访问危险网站B,噢,这时你会发现你的银行账户少了1000块…

为什么会这样呢?原因是银行网站A违反了HTTP规范,使用GET请求更新资源。在访问危险网站B的之前,你已经登录了银行网站A,而B中 的以GET的方式请求第三方资源(这里的第三方就是指银行网站了,原本这是一个合法的请求,但这里被不法分子利用了),所以你的浏 览器会带上你的银行网站A的Cookie发出Get请求,去获取资源“http://www.mybank.com /Transfer.php?toBankId=11&money=1000”,结果银行网站服务器收到请求后,认为这是一个更新资源操作(转账 操作),所以就立刻进行转账操作…

示例2:

为了杜绝上面的问题,银行决定改用POST请求完成转账操作。

银行网站A的WEB表单如下:

	<form action="Transfer.php" method="POST">
    <p>ToBankId: <input type="text" name="toBankId" /></p>
    <p>Money: <input type="text" name="money" /></p>
    <p><input
最低0.47元/天 解锁文章

200万优质内容无限畅学
跨站请求伪造
Chenamao的博客
08-04 2385
目录 跨站请求伪造(Cross site Request,CSRF) 基本概念; 关键点: 目标: 构建CSRF场景: 攻击原理及过程: CSRF和XSS区别联系: 口令安全 –口令破解 口令(密码)安全威胁 口令的破解方式 ☺ 字典破解 ☺ 口令破解的方式 ☺ 口令破解情况 ☺ Hydra –远程口令破解神器 ☺ 远程口令爆破实例 ☺ 离线密码破解 ☺ 网站后台爆破 跨站请求伪造(Cross site Request,CSRF) 实例:heike用户可以伪造admi
跨站请求伪造(CSRF)漏洞详解
CoffeMilk的博客
09-21 1559
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求攻击方式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击
CSRF(跨站请求伪造)详解
最新发布
tubug的博客
06-08 754
CSRF(Cross-Site Request Forgery)是指攻击者诱导用户在已登录某网站的情况下,执行非本意的操作(如转账、改密码等)。它依赖于用户已登录状态下浏览器自动携带 Cookie 的特性。 攻击者发现目标网站存在 CSRF 漏洞,关键操作接口未对请求来源进行身份校验。 攻击者构造包含恶意请求的 Payload(如自动提交的表单、恶意图片、JS 脚本等),并嵌入到钓鱼网页或第三方平台。 通过社交工程手段(如钓鱼邮件、社交消息、伪装广告等)引导用户点击该页面或链接。 用
跨站请求伪造防御
wangyunfeis的博客
08-16 382
title: 跨站请求伪造防御 date: 2017-08-14 16:22:41 categories: 网络安全 tags: csrf --- 背景 最近安全问题越来越多,公司软件也面临出海,刚开始公司软件大部分部在公安内网,安全问题没有太多重视。最近买了安全公司的扫描软件,一扫扫出很多安全问题,其中有一个是跨站请求伪造问题。 常见的攻击模式 GET请求利用 使用GET请求
CSFR攻击
Tech in Pieces
06-18 395
引子: 看到一段php代码中有@csrf 想知道这是什么意思 CSRF: Cross-site request forgery – 跨站请求伪造,也被称为:one click attack/session riding. 他做什么呢? 利用了我们的登录状态或者授权状态(cookie/还为登出某些正规网站(比如银行)),诱导我们点击一些网址 然后获取利益。 两个关键词:利用:不是窃取–因为真的很难窃取,但是如果你保持在其他网站的登陆状态或者你有cookie在某些正规网站,而且诱导你点击某些不正规链接,这些链接
【DVWA】CSRF跨站请求伪造实战
「我唯一会的和擅长的只有网络安全,如果我不能在我最擅长的事情上取得成功,那么我根本不知道,我的人生还有什么意义。」
11-25 941
不为圣贤,便为禽兽;莫问收获,但问耕耘。
跨站请求伪造解决方案
水调码头
07-28 1257
近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。前一篇博客介绍了启用了不安全的HTTP方法的解决方案,有兴趣请移步启用了不安全的HTTP方法解决方案。1.跨站请求伪造首先,什么是跨站请求伪造跨站请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式。 说的白话一点就是,别的站点伪造
了解XSS和CSRF攻击防御
m0_66268916的博客
03-27 1418
攻击者诱使用户访问一个恶意网页或点击一个恶意链接,在用户浏览器中发起一次HTTP请求,该请求会自动携带用户在其他网站中的身份认证信息,如Cookie等。DOM-based XSS 攻击: 通过修改页面的DOM结构来触发漏洞,这比如说客户端从url中提取数据并且在本地执行,如果用户在客户端输入的数据包含了恶意的js脚本的话,但是这些脚本又没有做过任何过滤处理的话,那么我们的应用程序就有可能受到DOM-based XSS攻击。用户在浏览该页面时,浏览器会执行该恶意代码,从而使攻击者得以窃取用户信息。
跨站请求伪造(CSRF)
jkzyx123的博客
07-14 1066
目标网站会误认为该请求是合法的用户行为,并执行相应的操作。恶意请求执行:受害者在浏览器中打开了恶意页面后,其中的自动执行的请求会被发送到购物网站。由于浏览器会自动携带受害者的身份验证凭证,购物网站会误以为这是合法的请求,并执行购买商品的操作。CSRF(Cross-Site Request Forgery)跨站请求伪造是一种常见的网络安全攻击,它利用用户在已经登录的网站上的身份验证信息来执行恶意操作。攻击者构造恶意页面:攻击者创建一个恶意网页,其中包含一个自动执行的请求,向购物网站发送一个购买商品的请求
CSRF - 跨站请求伪造
weixin_46601374的博客
03-01 5856
什么是CSRF? CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 实说白了..
CSRF-跨站请求伪造
Echo__h的博客
05-02 142
CSRF(Cross-Site Request Forgery),指攻击者诱使用户执行他们不打算执行的操作。攻击者利用服务器对用户的信任,欺骗受害者向服务器发起受害者不知情的恶意请求。一般场景中,攻击者会伪造一个恶意链接诱使用户点击。
CSRF(跨站请求伪造)
无痕的博客
01-18 8757
csrf跨站请求伪造介绍、csrf攻击在dvwa环境中的应用
CSRF(Cross-site request forgery)跨站请求伪造
weixin_59496235的博客
03-26 1103
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。我们通常是给受害者发送一个链接,而在正常的情况下人们通常不会点击一个很长的、看起来就不正常的链接,这个就需要利用到社会工程学,学会利用人们的心理来达到我们的目的,诱使他们点击我们构造的链接,这种情况下我们需要把长的链接转化成一个短的链接,而网上正好可以找到很多这种在线的工具。
XSS、CSFR
03-22
<think>好的,我需要回答用户关于XSS和CSRF攻击的原理及防御措施的问题。首先,我应该回顾用户提供的引用内容,确保信息准确。用户引用了四个来源,其中提到了XSS和CSRF的基本概念、攻击方式以及防御措施。我需要将这些信息整合成结构清晰的回答,同时遵循系统级指令,比如正确使用LaTeX格式和添加引用标识。 首先,XSS攻击的原理是攻击者将恶意脚本注入到网页中,当其他用户访问时,脚本在浏览器执行,盗取信息或篡改页面。引用中提到了存储型、反射型和DOM型三种类型,需要分别解释。防御措施方面,输入过滤、输出转义、CSP策略和HttpOnly标记都是关键点,每个措施对应引用中的不同部分,需要正确标注引用来源。 接下来是CSRF攻击,其原理是利用用户已登录的身份,诱使用户在不知情的情况下执行恶意请求攻击的三个必要条件:用户登录、触发请求请求可预测。防御措施包括同源检测、Token验证、双重Cookie验证和SameSite属性,这些在引用中也有提到,需要正确引用。 最后,生成相关问题时要确保问题主题相关,并且覆盖用户可能感兴趣的方面,比如组合攻击、实际案例、框架防护和检测工具。整个过程需要保持语言自然,避免使用Markdown格式,并确保每个引用标识正确对应。</think>### XSS攻击原理防御措施 #### 一、XSS攻击原理 XSS(跨站脚本攻击)通过将恶意脚本注入网页内容,当其他用户访问时,脚本在浏览器中执行,从而盗取用户数据或篡改页面。主要分为三类: 1. **存储型XSS**:恶意脚本永久存储在服务器(如评论区),用户访问时触发[^3][^4]。 2. **反射型XSS**:恶意脚本通过URL参数传递,服务器未过滤直接返回给用户浏览器执行[^3][^4]。 3. **DOM型XSS**:攻击通过修改页面DOM结构触发,无需服务器参。 #### 二、XSS防御措施 1. **输入过滤**:对用户输入内容进行严格校验,过滤特殊字符如$<, >, &$[^4]。 2. **输出转义**:将动态内容中的特殊字符转换为HTML实体,例如将$<$转为$\<$[^3]。 3. **内容安全策略(CSP)**:通过HTTP头部限制可执行的脚本来源,例如: ```http Content-Security-Policy: script-src 'self' ``` 仅允许同域脚本执行[^1][^4]。 4. **HttpOnly标记**:为Cookie设置HttpOnly属性,阻止JavaScript访问敏感Cookie[^4]。 --- ### CSRF攻击机制防范方案 #### 一、CSRF攻击机制 CSRF(跨站请求伪造)利用用户已登录的身份,诱导其触发恶意请求。例如: - 用户登录银行网站后,访问攻击者页面,该页面自动发送转账请求: ```html <img src="https://bank.com/transfer?to=attacker&amount=1000"> ``` 浏览器携带用户的Cookie发送请求,导致非授权操作[^2]。 攻击必要条件: 1. 用户已登录目标网站。 2. 用户触发请求(如点击链接)。 3. 请求参数可预测[^2]。 #### 二、CSRF防御方案 1. **同源检测**: - 验证HTTP头部的`Origin`或`Referer`字段,确保请求来源合法。 2. **CSRF Token**: - 服务器生成随机Token嵌入表单或请求头,验证请求合法性: ```html <input type="hidden" name="csrf_token" value="RANDOM_STRING"> ``` 3. **双重Cookie验证**: - 将Token存入Cookie和请求参数,服务器对比两者是否一致。 4. **SameSite Cookie属性**: - 设置Cookie的`SameSite`属性为`Strict`或`Lax`,限制跨站请求携带Cookie: ```http Set-Cookie: session=abc123; SameSite=Lax ``` --- ### 相关问题 1. XSS和CSRF组合攻击如何防范? 2. 实际开发中如何通过框架(如React、Django)自动防御XSS/CSRF? 3. 哪些历史安全事件XSS或CSRF相关? 4. 如何通过工具检测网站XSS/CSRF漏洞?
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值