CSRF漏洞原理与防御方式

最新推荐文章于 2025-05-07 13:26:58 发布
最新推荐文章于 2025-05-07 13:26:58 发布
阅读量2.1k 收藏 3
点赞数 2
CC 4.0 BY-SA版权
文章标签: csrf 安全漏洞 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dreamthe/article/details/120310938

CSRF漏洞原理

CSRF被叫做跨站请求伪造,该怎么理解这句话呢,比如 用户a在浏览器登录了账号,当他发送登录请求时候,服务器验证了账号密码,会返回给一个身份信息存放在cookie里面,浏览器保存,那么以后用户访问服务器带着这个cookie就行了。那么怎么产生攻击的呢,是用户在已经登录的状态下,访问了一个恶意的网站,带浏览器保存的cookie值向服务器发送了恶意请求,服务器会以为是用户的请求,其实这是用户不知情的请求。垮了两个站,一个是用户登录实际网站,一个是攻击者恶意构造网站,所以称作跨站请求伪造。

满足条件:

1.用户的登录了受信任的A网站,生成身份验证cookie值

2.不退出A网站访问了恶意网站B网站。

可能有的人就问恶意网站如果构造呢,这也是这个漏洞实现的一个需要考虑的地方.

具体流程:

首先张三在一个银行上有一个账户,她向李四转账1000元,那么向银行网站发送请求,请求如下 http://bank.hello/draw?moeny=zhangsan&amount=1000&for=lisi,同时攻击者小明在该网站也有账号,知道转账请求如上,所以攻击者构造了一个恶意网站,在张三登录网站之后,并且没有关闭情况下,诱导受害者点击图片,或者是一个链接,该恶意网站访问会发送一个请求http://bank.hello/draw?moeny=zhangsan&amount=1000&for=xiaoming,也就是说张三向小明转账1000元,因为这时张三还登录银行网站,身份认证信息cookie没有失效,银行会认为这是张三用户发送的一个正常请求,所以会执行命令转账功能。一般完成这个攻击通常需要搭配xss漏洞,需要在登录银行网站后进行弹窗,鼠标点击链接啊等等诱导用户点击。同时你还得知道一个敏感操作的一个请求url,不然怎么构造网站呢。

漏洞防御

CSRF防御有很多方式,每种方式各有利弊,目前有

检测referer防御CSRF

最低0.47元/天 解锁文章

200万优质内容无限畅学
CSRF跨站请求伪造介绍和防御方法
投资自己
05-26 4709
一、CSRF介绍CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF攻击防御web安全的第一防线。攻击流程:                用户访问恶意网站B,恶意网站B返回给用户的HTTP信息中要求用户访问网站A,而由于用户和网...
雨笋教育:CSRF悄无声息更改你的密码,码住这波操作
weixin_59086772的博客
06-16 414
CSRF是什么? CSRF(Cross-site request forgery): 跨站请求伪造/攻击,也被称为 one-click attack 或者 session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本攻击(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。 简单来说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己认证过的站点且认证未失效,并执行一
Web安全:跨站请求伪造(CSRF)测试和利用.
网络安全领域___专研者.
02-18 4685
CSRF漏洞的 概括: CSRF(跨站请求伪造)漏洞原理:攻击者是通过用户浏览了攻击者构造的链接,从而达成一个攻击的目的。主要的作用是:浏览器的安全策略是允许页面发送到任何地址的请求,攻击者可以控制页面的内容来控制浏览器 发送攻击者精心构造的请求.
最新CSRF漏洞:攻击原理、检测方法和防范措施,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
leah126的博客
05-07 1194
在本文中,我们将深入探讨CSRF漏洞的攻击原理,介绍如何进行渗透测试以发现这种漏洞,并提供一些防范措施,以保护您的应用程序免受CSRF攻击的威胁。CSRF漏洞是一种常见的网络安全威胁,但通过采取适当的防范措施,开发人员可以有效地保护他们的应用程序免受这种攻击的影响。在这个示例中,攻击者将一个图像标签插入到恶意网站中,当用户访问该网站时,浏览器会自动发送一个请求来更改用户的密码,因为用户已经在受害者网站上登录,他们的会话凭证会被用于执行操作。首先,需要准备一个恶意网页或电子邮件,其中包含恶意的CSRF请求。
CSRF 跨站请求伪造 防御方案
qq_44874626的博客
10-16 335
一.什么是CSRF跨站攻击? 名词解释(Cross-site request forgery)是跨站请求伪造. 攻击原理图: 1. 用户c在a站(www,abc.com)上登陆, a站会将登录信息保存在用户的Cookies中. 2.b站被黑客攻破,在某个页面上注入一串html代码: 如: <div style="displaty:none"> <img src="...
跨站请求伪造(CSRF)攻击防御原理
weixin_58954236的博客
09-01 1671
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。
CSRF漏洞原理攻击防御 超详细
qq_48368964的博客
08-13 1543
CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
CSRF漏洞原理攻击防御
A526847的博客
05-13 1214
了解CSRF的机制之后,危害性我相信大家已经不言而喻了,我可以伪造某一个用户的身份给其好友发送 垃圾信息,这些垃圾信息的超链接可能带有木马程序或者一些欺骗信息(比如借钱之类的),如果CSRF 发送的垃圾信息还带有蠕虫链接的话,那些接收到这些有害信息的好友万一打开私信中的链接就也成为 了有害信息的散播着,这样数以万计的用户被窃取了资料种植了木马。而如果黑客要 对银行网站实施 CSRF 攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行 时,该请求的 Referer 是指向黑客自己的网站。
DWVA之csrf漏洞原理防御及练习
m0_71635484的博客
03-16 576
DWVA之csrf漏洞原理防御及练习
深度解析:CSRF漏洞原理防御策略
CSRF漏洞,全称为Cross-Site Request Forgery,是一种常见的Web安全问题,常常被列入OWASP十大最...CSRF漏洞Web开发中必须重视的问题,开发人员需要采取多种防御措施,并时刻关注技术更新以应对不断演变的攻击手段。
CSRF跨站点伪造请求攻击——脱库及密码修改
温柔小薛的博客
04-11 1310
脱库及密码修改 CSRF 快速拖库案例 拖库’本来是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。 网站数据库被拖,直接导致用户信息泄露,造成的危害很大,比如:CSDN 明文密码泄露事件、小米 800W 用户信息泄露事件等等 首先,我们先登录一下 discuz 的后台,模拟管理员进行周期性的数据库备份。(admin) Uce...
Ajax跨站点请求伪造漏洞
03-22
Ajax跨站点请求伪造漏洞,近日,我们的网站请微软的工程师作了一次漏洞扫描,扫描结果中有两个“跨站点请求伪造漏洞”。通过查资料,我做了一番研究,包括此漏洞的入侵条件,被攻击后的损失以及防范措施等。
csrf实验
weixin_33708432的博客
06-22 559
CSRF攻击实验 CSRF攻击涉及用户受害者,受信任的网站和恶意网站。当受害者受信任的站点拥有一个活跃的会话同时,如果访问恶意网站,恶意网站会注入一个HTTP请求到为受信任的站点,从而破话用户的信息。 CSRF 攻击总是涉及到三个角色:信赖的网站(Collabtive)、受害者的 session 或 cookie 以及一个恶意网站。受害...
CSRF 原理防御案例分析
weixin_43639741的博客
04-22 859
CSRF,也称 XSRF,即跨站请求伪造攻击, XSS 相似,但 XSS 相比更难防范,是一种广泛存在于网站中的安全漏洞,经常 XSS 一起配合攻击。 CSRF 原理 攻击者通过盗用用户身份悄悄发送一个请求,或执行某些恶意操作。 CSRF 漏洞产生的主要原因: 1、请求所有的参数均可确定 2、请求的审核不严格,如:只验证了 Cookie 关于 CSRF 的执行过程,这里引用自 hyddd 大...
伪造html页面,跨站点请求伪造漏洞验证方法
weixin_30067913的博客
06-03 618
CSS布局HTML小编今天和大家分享帮助解决漏洞CSRF跨站点请CSS布局HTML小编今天和大家分享伪造,十分下面是CSRF的常见特性: 依靠用户标识危害网站 利用网站对用户标识的信任 欺骗用户的浏览器发送HTTP请CSS布局HTML小编今天和大家分享给目标站点 另外可以通过IMG标签会触发一个GET请CSS布局HTML小编今天和大家分享,可以利用它来实现CSRF攻击。 CSRF攻击依赖下面的假...
渗透测试技术----常见web漏洞--跨站请求伪造攻击原理防御
wwl012345的博客
08-18 1824
一、跨站请求伪造攻击介绍 1.跨站请求伪造攻击简介 跨站请求伪造(Cross-site request forgery)简称为CSRF,这是一种对网站的恶意利用。CSRF实际上就是攻击者通过各种方法伪装成目标用户的身份,欺骗服务器,进行一些非法操作,但是这在服务器看来却是合法的操作。 2.CSRFXSS的区别 尽管CSRF听起来很像XSS,但是却又XSS有本质的区别。最本质的区别就是XS...
网络安全-跨站请求伪造(CSRF)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
【XSS & CSRF 】访问时篡改密码——以DVWA-High为例
Mr_Fmnwon的博客
05-23 1389
第二阶段,增加了一个CSRF-Token。关于XSS的利用,cookie的泄露,在上述博客中已很清晰地说明白了~从一开始无法利用,到思考需要的条件,一步步实现,对CSRF、XSS的理解更深了。唯一觉得遗憾的是,chat强大、解放编写代码门槛的同时,也让我编码能力——程序员的核心能力——迟滞不前甚至降低许多。。。唉。
CSRF(跨站请求伪造)的攻防汇总
m0_57836225的博客
10-05 408
当用户在已登录目标网站的状态下点击这个恶意链接时,浏览器会自动携带用户在目标网站的认证信息(如 Cookie)向目标网站发送请求,从而执行恶意操作。- 比如,一个论坛网站允许用户上传头像图片,攻击者上传一张图片,图片的加载会触发对目标电商网站的购买请求。如果请求来自不可信的来源,服务器可以拒绝该请求。- 防御原因:除了传统的用户名和密码认证外,增加额外的认证方式,如手机验证码、指纹识别等,可以提高安全性。- 例如,在进行重要操作时,如修改密码、转账等,要求用户输入手机验证码,确保操作是由用户本人发起的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值