深入了解CSRF漏洞

最新推荐文章于 2025-12-08 18:11:11 发布
原创 最新推荐文章于 2025-12-08 18:11:11 发布 · 573 阅读 · 2
标签
#csrf #服务器 #java #网络安全 #计算机网络

1.1. 定义

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack或者 session riding,通常缩写为 CSRF或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

跨站请求伪造攻击,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个用户自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求是发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的

Note

简单来说就是你点击我构造的恶意链接,我就可以以你的名义去发起一个http请求

1.2. 举例

  1. 假如X银行用以执行转账操作的URL地址如下
    https://bank.example.com/withdraw?amount=1000&to=PayeeName

  2. 一个恶意攻击者在另一个网站中https://evil.com/中放置如下代码
    html <img src="/https://bank.example.com/withdraw?amount=1000&to=Bob" />

  3. 如果有登陆了X银行的用户访问恶意站点https://evil.com/,那么就会携带cookie去请求对应的转账URL,向Bob转账1000元

Note这种恶意的网址可以有很多种形式,藏身于网页中的许多地方,只要能让受害者发起对应的请求即可,如上述中的转账请求。

攻击者也不需要控制放置恶意代码的网站,例如他可以将这种地址藏在各大论坛,博客等任何用户生成内容的网站中,这意味着如果服务端没有合适的防御措施的话,用户即使访问熟悉的可信网站也有受攻击的危险

通过例子也能够看出,攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是欺骗用户的浏览器,让其以用户的名义执行操作

1.3. 攻击流程

具体的攻击流程如下:

  1. 用户正常登录web服务,并一直保持在线

  2. 服务器返回用户凭证Session ,并将其保存在Cookie中

  3. 攻击者生成payload,并放置在用户可访问的地方

  4. 攻击者诱导用户点击在第3步放置的链接,此时用户一直在线,且是用同一浏览器打开(保证Cookie未失效)

  5. 用户点击恶意链接

  6. 恶意链接向服务器请求,由于用户Cookie未失效,就携带用户Cookie访问服务器<

最低0.47元/天 解锁文章
使用令牌解决重复提交问题
PixelLoom的博客
09-21 260
了解决这个问题,可以使用令牌(Token)机制来确保每次提交都是唯一有效的。本文将介绍如何使用令牌解决重复提交问题,并提供相应的源代码示例。令牌是一种在Web应用程序中用于验证请求有效性的机制。基本原理是,在每次呈现表单给用户时,将生成一个唯一的令牌,并将该令牌嵌入到表单中的隐藏字段中。当用户提交表单时,服务器会验证该令牌的有效性,如果令牌有效,则处理用户的请求;在实际应用中,建议根据具体需求和框架的要求进行适当的调整和改进。类负责生成令牌、将令牌嵌入到表单中、验证令牌的有效性,并将令牌标记为已使用。
CSRF漏洞详解 一文了解CSRF漏洞
闵行小鱼塘
11-11 3083
本篇总结归纳CSRF漏洞
关于JSON CSRF的一些思考
zhangge3663的博客
04-23 1048
CSRF作为常见漏洞,一直受到关注和研究,JSON是一种应用广泛的轻量级数据交换格式,当CSRFPOST一段JSON,情况可能会变得有些不一样;此次就一种特殊情况下的CSRF进行分析,权当抛砖引玉。 某次遇到一个没有验证token与referer的CSRF。 其原始数据包为: POST /webnet/edit HTTP/1.1 Host: www.xxx.com User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:53.0) Gecko/201.
Csrf再识及初识Json劫持
云舒的博客
03-01 781
认识csrfjson劫持
令牌同步模式
Leon_Jinhai_Sun的博客
05-22 540
这是目前主流的 CSRF 攻击防御方案。具体的操作方式就是在每一个 HTTP 请求中,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的宇符串,我们称之为 CSRF 令牌。这个 CSRF 令牌由服务端生成,生成后在 HtpSession 中保存一份。当前端请求到达后,将请求携带的 CSRF 令牌信息和服务端中保存的令牌进行对比,如果两者不相等,则拒绝掉该 HITTP 请求。 注意: 考虑到会有一些外部站点链接到我们的网站,所以我们要求请求是幂等的,这样对子HEAD、OPTIONS、
csrf跨站请求伪造_跨站请求伪造(CSRF)缓解—同步器令牌模式
weixin_26722031的博客
07-31 959
csrf跨站请求伪造 什么是CSRF Attack ..? (What is CSRF Attack..?) A Cross-Site Request Forgery is also known as CSRF, one-click attack or session riding. This is a sort of assault whereby web site with noxious a...
一文深入了解CSRF漏洞
weixin_43025534的博客
05-08 1675
跨站请求伪造(英语:Cross-site request forgery),也被称为或者,通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。跨站请求伪造攻击,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个用户自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。
一文了解csrf漏洞
hacker3062的博客
09-08 534
自定义属性的方法也是使用token并进行验证,和前一种方法不同的是,这里并不是把token以参数的形式置于HTTP请求之中,而是把它放到HTTP头中自定义的属性里。通过XMLHttpRequest这个类,可以一次性给所有该类请求加上csrftoken这个HTTP头属性,并把token值放入其中。这样解决了前一种方法在请求中加入token的不便,同时,通过这个类请求的地址不会被记录到浏览器的地址栏,也不用担心token会通过Referer泄露到其他网站。
渗透测试-一文了解csrf漏洞
lza20001103的博客
04-23 1843
渗透测试-一文了解csrf漏洞
同步令牌模式防范CSRF跨站请求伪造攻击
weixin_34226706的博客
03-14 297
什么是“跨渣请求伪造”呢?这是信息安全领域的一个名词,译自英文“Cross Site Request Forgery”。 百度百科上介绍的很简单却很明了,大家可以看一下,我这里配合一些代码稍微多说一点。 假设我们要在银行网站上给老妈转100块钱,毕竟毕业这么多年了也没给过家里钱(虽然你认为他们都在赚钱不需要你给,况且你自己现在赚钱刚好可以经...
安全审查--跨站请求伪造--同步令牌模式
最新发布
petunsecn的专栏
12-08 1159
本文深入讲解了同步令牌模式(Synchronizer Token Pattern)的工作原理及实现方式,通过6个层次逐步展开:1) 从银行转账类比解释CSRF攻击原理;2) 阐述同步令牌的基本概念和防御机制;3) 提供从简单到复杂的代码实现方案;4) 介绍前端如何配合使用令牌;5) 分析多标签页、SPA应用等常见问题解决方案;6) 总结安全最佳实践和注意事项。文章采用生活化比喻和代码示例相结合的方式,系统性地展示了如何通过一次性随机令牌有效防御CSRF攻击,并提供了生产环境中的优化建议和错误处理方案。
网络安全-跨站请求伪造(CSRF)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-08 1万+
目录 简介 原理 举例 漏洞发现 链接及请求伪造 CSRF攻击 不同浏览器 未登录状态 登录状态 代码查看 防御 用户 供应商(程序员) 简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF .
CSRF——跨站请求伪造攻击
peanut5036的博客
12-04 1395
一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实意愿下的操作行为。
CSRF漏洞详解
xcxhzjl的博客
11-19 3506
一、CSRF漏洞原理 1、基本原理 CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。 CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。 CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。 2、流程图 3、条件 ●用户成功登陆了网站系统,能执行授权的功能 ●目标用户访
浅谈JSON格式下的CSRF
m0_49197645的博客
06-20 2194
最近总是遇到很多POST 传参采用 JSON 格式的场景,对于怎么验证该接口是否具有CSRF漏洞做了一些总结。
Flask09_post请求2(json、文件、csrf)
weixin_43867837的博客
09-20 1167
(9)通过flask.Response响应JSON时,要通过json.dumps把响应体字典改成JSON格式,响应头的Content-Type通过mimetype参数设置为application/json。>> 用户请求Flask,由Flask下发一个随机的校验值(字符串),再次请求携带校验值,flask通过校验值校验用户,校验值每次随着页面的刷新在变化,校验值被称为csrf_token。>>通过request.json.get(需求键,默认值)的方式为其设置默认值,当无法获取到键时,直接使用默认值代替。
CSRFJSONP 和 CORS】
m0_64237310的博客
09-08 1336
CSRF(Cross-Site Request Forgery,跨站请求伪造)也被称为 one-click attack,攻击者通过伪造用户的请求,诱使用户在已认证的状态下执行非本意的操作。解释一下,黑客通过一些手段诱导用户点击链接,然后浏览器就会去访问一个用户自己曾经认证过的网站,并执行一些敏感操作(发邮件、转账、购买商品、修改密码等)。形成这种漏洞是由于网站没有验证身份,虽然这个请求发自用户的浏览器,但不能代表请求就是用户自愿发出的。
通俗易懂的csrf漏洞(token为什么能放cookie)
qq_39739740的博客
09-07 1241
csrf漏洞即跨站请求伪造,通俗来说即攻击者通过发送第三方网站(乱七八糟的网站)给你,然而这个网站中隐藏了对你已经登陆过的网站的一些请求,也就是含有你的身份认证信息,从而可以假扮你去操作一些事情。假设微博的关注功能存在csrf漏洞那么这就表示给用户小明点了个关注。。注意:实际http请求中是携带了你cookie(即身份信息)的,总不能还没登陆微博就能点关注吧这时,如果有人给你发了一个恶意链接****这个网站里头有一个很吸引你的图或者什么话题,然而这个话题或图的链接。
web基础漏洞CSRF(跨站请求伪造漏洞)
m0_62274649的博客
10-04 1538
一些自己的小总结,有待完善
html5表单提交json数据库,CSRF漏洞中以form形式用POST方法提交json数据的POC
weixin_42522626的博客
06-04 780
目录0x01 写在前面今天遇到的,查了很多资料,发现这种形式的基本上没看到,圈子里某个师傅发了一个国外的链接,参考了一下,最后成功构造poc。0x02 POCform提交post数据很简单,如下:This i a CSRF test!但是这种方式存在缺陷,如下图:始终有个“=”摆脱不了,但是用下面这种方式成功摆脱:This i a CSRF test!这里的技巧主要在于name和value的值共同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值