网络安全笔记 -- CSRF漏洞、SSRF漏洞

原创 已于 2022-09-10 17:23:20 修改 · 2.8k 阅读 · 14
标签
#web安全 #csrf #安全
于 2022-09-10 17:22:16 首次发布

1. CSRF漏洞

1.1 CSRF漏洞原理

CSRF(Cross—Site Request Forgery:跨站点请求伪造)

CSRF 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

CSRF与XSS的区别:
CSRF是借用户的权限完成攻击,攻击者并没有拿到用户的权限
XSS是直接盗取到了用户的权限,然后实施破坏

在这里插入图片描述

1.2 CSRF(GET)案例

平台:pikachu

在这里插入图片描述

  1. 进入登录界面,输入账号密码登录:

最低0.47元/天 解锁文章
BlueCms开源环境渗透学习(附代码审计学习)
weixin_53884648的博客
09-25 6359
学习审计开源的CMS来练习代码审计
CSRFSSRF漏洞的总结
2302_80462925的博客
06-30 2166
CSRF,即跨站请求伪造(Cross-Site Request Forgery),是一种常见的 Web 应用程序安全漏洞。它通常发生在用户在某个信任的网站上保持登录状态,而同时访问了恶意网站的情况下。攻击者利用用户浏览器的自动发送请求功能,诱导用户在不知情的状态下,以其在信任网站上的合法身份执行恶意操作。CSRF 攻击的特点在于它利用了用户已经通过身份验证的会话,使得服务器误以为是合法用户发起的请求。这些恶意请求可能包括修改用户个人信息、进行转账、发布非法内容等,从而给用户和网站带来严重的损失。
(2020上半年第22天(其他漏洞--CSRF+SSRF))小迪网络安全笔记
u013630181的博客
12-04 503
参考①:cnblogs.com/dogecheng/p/11583412.thml
xss、csrfssrf的区别
太阳照耀我走四方
07-22 571
​ 要想搞懂这三者有什么区别,首先需要知道它们的原理。
SSRF漏洞详解 一文了解SSRF漏洞
闵行小鱼塘
11-09 5939
本篇总结归纳SSRF漏洞
一篇文章读懂XSS、CSRFSSRF的异同
weixin_44681434的博客
01-23 2145
写在前面 首先一起回顾一下这三种漏洞的定义 XSS是黑客通过“HTML”注入篡改网页,插入了恶意脚本,当用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。 CSRF是指利用用户已登录的身份,在用户毫不知情的情况下以用户的名义完成的操作; SSRF是指攻击者能够从易受攻击的web应用程序发送精心设计的请求包对其他网站进行攻击。 三者异同 XSS和CSRF的相同点,它们都是利用浏览器发送数据包,而SSRF是在服务器上执行让服务器偷偷发送数据包;另外,CSRF和XSS都会利用到Cookie,但CSRF是利用
一文了解XSS,CSRFSSRF的区别
allintao的博客
03-02 3777
本文章主要简单介绍一下关于XSS,CSRF,SSRF的区别
总结9大常见Web漏洞,(非常详细)网安小白零基础入门到精通看这一篇就够了!
最新发布
Libra1313的博客
08-22 582
目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是web根目录以外的文件),甚至执行系统命令。正好我手中有一份Web安全学习笔记,不仅包含各个漏洞的概念、原理,还包含利用技术和防御等,更是涵盖其它Web安全的知识点,实操性极强,很适合零基础朋友学习参考。这些漏洞通常不是由传统的代码错误或编程缺陷引起的,而是由于系统的逻辑处理不当、设计缺陷或对业务流程的理解不足。
TOP10漏洞原理
xuyunpeng3189的博客
01-16 602
1、sql注入:web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把sql语句拼接进数据库中执行,造成sql注入危害 2、xss:前端页面代码过滤不严格,导致可以插入的恶意js代码并执行 3、xxe:程序在解析XML文档输入时,没有禁止外部实体的加载,导致可引用恶意外部实体 4、文件上传:上传文件时过滤不严格导致可以上传恶意文件到服务器 5、文件包含:文件包含的参数没有经过过滤或者严格的定义,并且参数可以被用户控制,如果文件中存在恶意代码,无论文件是什么样的后缀类型,文件内的恶意代码都会被
csrf漏洞表述/shiro漏洞分析-手把手教渗透笔记
程序员三九的博客
05-16 528
0x00 漏洞信息简介 ! Board(简称 !)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来,!
CSRFSSRF
qq_73792226的博客
07-22 1563
CSRF定义:CSRF是一种由攻击者构造形成,利用用户在已登录的网站中提交非法请求的行为。攻击者通过伪造用户提交的请求,将恶意请求发送至受信任的网站,导致用户在不知情的情况下执行恶意操作。原理:CSRF攻击利用了网站对用户网页浏览器的信任。攻击者通过诱使用户访问一个恶意网页(通常是通过邮件、消息或恶意网站链接),该网页中包含了一个指向受信任网站的恶意请求。由于用户的浏览器在访问该网站时已经处于登录状态,因此这个恶意请求会携带用户的认证信息(如Cookie),从而被受信任的网站信任并执行。SSRF
XSS、CSRFSSRF漏洞原理以及防御方式
Love_Naive的博客
09-03 5944
这里写目录标题XSSXSS攻击原理:XSS的防范措施主要有三个:编码、过滤、校正CSRFCSRF攻击攻击原理及过程如下:CSRF攻击的防范措施:SSRFSSRF漏洞攻击原理以及方式SSRF漏洞攻击的防范措施XMLXSS、CSRFSSRF的区别XSS、CSRF的区别 XSS XSS(Cross Site Scripting):跨域脚本攻击。 XSS攻击原理: 不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 X
关于CSRFSSRF知识详解
qq_44857938的博客
06-12 1136
关于CSRFSSRF知识详解 CSRF 1.CSRF漏洞介绍 CSRF(Cross-Site Request Forgey,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,
CSRFSSRF原理,防御
2301_77315080的博客
09-06 682
跨站请求伪造(英语: Cross-site request forgery),也被称为one- click attack或者sessionriding,通常缩写为CSRF或者XSRF;是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
CSRFSSRF原理、区别、防御方法
2301_76786857的博客
12-26 3129
它是一种利用用户在已登录的网站中提交非法请求的行为,攻击者通过伪造用户提交的请求,将恶意请求发送至受信任的网站,导致用户在不知情的情况下执行恶意操作。两者区别:CSRF是用户端发起请求,攻击者利用用户的Cookie信息伪造用户请求发送至服务器;而SSRF是服务端发起的请求,攻击者通过构造指定URL地址获取网页文本内容、加载指定地址的图片、下载等方式,利用存在缺陷的Web应用作为代理攻击远程和本地的服务器。5.限制请求的端口为http常用的端口,例如80、443、8080、8090等;
渗透测试-一文读懂XSS、CSRFSSRF、XXE漏洞原理、应用、防御
lza20001103的博客
08-25 4070
一文读懂XSS、CSRFSSRF、XXE漏洞原理、应用、防御 文章目录一文读懂XSS、CSRFSSRF、XXE漏洞原理、应用、防御一、相同点与不同点相同点不同点XXE漏洞二、防御1、XSS2、CSRF3、SSRF4、XXE三、面试题 一、相同点与不同点 相同点 XSS,CSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点 XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的
WEB 漏洞 - CSRFSSRF 漏洞剖析
m0_57836225的博客
11-12 1517
CSRF 漏洞是一种攻击方式,攻击者通过在自己控制的网站上写入恶意代码,诱导已在目标网站(如银行网站)登录的用户访问该恶意网站。这种漏洞可大可小,如果被恶意利用,攻击者可以通过有 SSRF 漏洞的网站应用(如图片分享、转码、翻译、下载、API 接口等功能相关的应用)访问到目标服务器所在内网的其他系统,从而获取敏感信息,甚至进一步攻击内网中的其他资产。此时,若用户访问被攻击者控制且植入恶意代码的网站,恶意代码会利用用户与目标网站的登录状态,构造并发送请求,以达到攻击者的目的。今天我们就来深入探讨这两种漏洞
pikachu靶场中的CSRFSSRF通关
qq_68163788的博客
05-26 2861
在Pikachu靶场中,CSRF(Cross-Site Request Forgery)和SSRF(Server-Side Request Forgery)是两种常见的Web安全漏洞CSRF攻击利用用户在已认证的Web应用程序上执行未经意的操作,通过伪装请求来执行恶意操作,例如更改用户密码或发送资金。而SSRF漏洞则允许攻击者从受害服务器上执行请求,可能导致访问内部系统、绕过防火墙或执行其他恶意操作。
XSS、CSRFSSRF漏洞原理以及防御方式_xss csrf ssrf
Innocence_0的博客
05-18 1088
然而这种方法的局限性非常大。以CSRFTester工具为例,CSRF漏洞检测工具的测试原理如下:使用CSRFTester进行测试时,首先需要抓取我们在浏览器中访问过的所有链接以及所有的表单等信息,然后通过在CSRFTester中修改相应的表单等信息,重新提交,这相当于一次伪造客户端请求。
xss 和 crsf
08-10 437
crsf 攻击(CSRF(Cross-site request forgery),中文名称:跨站请求伪造) CSRF攻击原理 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值