`
wsmajunfeng
  • 浏览: 497422 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

CSRF

 
阅读更多

 

  CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思。

 

  举个CSRF攻击的例子:我们登录bbs论坛后修改个人资料,论坛服务器更新个人资料的url是www.bbs.com/save.do?user=xx&password=xx&birthday=xxx。当然要修改个人资料的前提是此用户要先登录,登录成功记录到cookie后,论坛就认为此用户是合法的,那么此用户修改个人资料(提交url:www.bbs.com/save.do?user=xx&password=xx&birthday=xxx)是可以的。

想象一个坏蛋在论坛中发了一个图片,你也已经登录了论坛,你看到这个图片很好奇,就点进去,但是这个图片的链接是“www.bbs.com/save.do?user=xx&password=xx&birthday=xxx”,服务器会响应这个链接请求的,因为你已经登录了,这样点击图片后你的个人资料就被修改了。

 

    网站服务器怎么避免CSRF漏洞?

    我们正常在网站中修改数据都是通过提交form表单进行的,提交后无论是get或post方式都会带上新数据,并生成一个请求保存数据的url发送给网站服务器,然后网站服务器会做响应。如果form表单是他人恶意伪造的,而不是网站正常渲染出来的form表单,那么你提交了这个恶意的表单后就会被修改数据。那么网站怎么判断这个表单提交过来的url是合法正常的,还是他人恶意构造的呢?很简单,只要网站在正常渲染form表单的时候,在session中存放一个token,并put到form表单中的一个隐藏域,当提交form表单后这个token也被一并提交给服务器,这时候服务器拿session中的token和提交的这个token做对比,如果一样则代表这是一个正常生成的表单,是一个合法的url,否则就是非法的。因为构造恶意的表单无法得知你的session回话中的token值,所以就算是伪造token也无法伪造正确的token,这样就可以避免被攻击了。

 

 

 

分享到:
评论

相关推荐

    Bolt:CSRF扫描仪-源码

    螺栓笨拙的CSRF扫描仪重要的Bolt处于测试的Beta阶段,这意味着可能存在错误。 不鼓励使用此工具。 欢迎提出请求和问题。 如果您对此仓库感兴趣,我也建议您将它放在监视中。工作流程爬行Bolt将目标网站爬网到指定的...

    Tomcat怎样防止跨站请求伪造(CSRF) 1

    Tomcat 防止跨站请求伪造(CSRF)机制浅析 在 Web 应用开发中,跨站请求伪造(CSRF)是一种常见的安全威胁。跨站请求伪造攻击是指攻击者诱骗受信任用户访问恶意网站,从而使得恶意网站能以用户身份对受信任网站执行...

    CSRF跨站请求伪造CSRF PHP demo代码

    CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...

    CSRF跨站请求伪造实例程序

    CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全威胁,攻击者通过诱导用户在不知情的情况下执行非预期的操作,如修改账户设置、进行非法转账等。在这个"CSRF跨站请求伪造实例程序"中,我们将...

    CSRF防御.docx

    CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attacksession riding,缩写为:CSRFXSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的...

    csrf绕过Referer技巧-01

    CSRF绕过Referer技巧详解 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以通过构造恶意页面诱骗用户执行非法操作。为了防御CSRF攻击,Web开发者通常会使用Referer头来判断...

    挖掘CSRF之道

    ### 挖掘CSRF之道 #### 一、CSRF概念与原理 **跨站请求伪造(Cross-Site Request Forgery,简称CSRF)**是一种针对Web应用的攻击方式,其核心思想是利用用户的身份权限执行非用户本意的操作。在CSRF攻击中,攻击者...

    CSRF知识点·总结.pdf

    CSRF(跨站请求伪造)是一种常见的Web安全攻击,其特点是在用户已经通过身份验证的情况下,攻击者诱导用户执行某些操作,从而达到其非法目的。CSRF攻击通常通过用户的浏览器向含有CSRF漏洞的Web应用程序发起请求,...

    hucart-含有CSRF漏洞的源码.zip

    CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全问题,它允许攻击者在用户已登录的情况下,诱导用户浏览器执行非本意的操作。在这个案例中,"hucart-含有CSRF漏洞的源码.zip" 提供了一个实际...

    基于JSP的Java Web项目的CSRF防御示例

    **基于JSP的Java Web项目的CSRF防御示例** 在Web开发中,跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种常见且危险的安全漏洞,它允许攻击者在用户已登录的上下文中执行非预期的操作。在基于JSP的...

    django中CSRF的问题及解决

    ### Django中的CSRF问题及其解决方案 #### 一、CSRF概念理解 CSRF,全称为Cross-Site Request Forgery(跨站请求伪造),是一种安全威胁,通常与另一种常见攻击手法XSS(Cross-Site Scripting,跨站脚本攻击)一起...

    83.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结_杨秀璋的专栏-CSDN博客1

    【网络安全自学篇】八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结 本文主要介绍了网络安全领域中常见的几种攻击手段,包括CSS注入、越权访问、csrf-token窃取以及XSS跨站脚本攻击,并通过WHUCTF比赛中的...

    anti-csrf, 全功能反CSRF库.zip

    anti-csrf, 全功能反CSRF库 反csrf库 动机没有任何好的会话来支持CSRF保护库。 我们的意思是:CSRF令牌可以限制为以下任何或者全部:特定会话特定的HTTP URI特定的IP地址( 可选)可以存储多个CSRF令牌CSR

    浅谈CSRF攻击方式

    ### 浅谈CSRF攻击方式 #### 一、CSRF是什么? CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络攻击手段,它利用用户在浏览器中保存的有效凭证(如Cookie等),通过伪装成受害者的身份对目标...

    Web应用安全:CSRF防范对策.pptx

    **Web应用安全:CSRF(跨站点请求伪造)防范对策** **一、CSRF的定义** CSRF(Cross Site Request Forgery),中文称为跨站点请求伪造,是一种恶意攻击手段,攻击者利用用户已登录的身份,诱导用户访问含有恶意请求...

    一个基于java开发的漏洞测试环境,其中包括了sql注入,csrf,任意文件上传,越权等等.zip

    这些漏洞包括SQL注入、CSRF(跨站请求伪造)、任意文件上传以及权限越权,这些都是网络安全领域中至关重要的知识点。 **SQL注入**是一种攻击手段,攻击者通过在输入数据中嵌入恶意的SQL语句,欺骗数据库执行非预期...

    CSRF的脚本,可以做测试使用.zip

    CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,攻击者利用这种漏洞,诱使用户在不知情的情况下执行非预期的操作。这个压缩包文件包含的是一些用于测试和学习CSRF攻击的脚本。下面将...

    CSRF-Request-Builder-master_request.builder_CSRFtester_kitchenvw

    CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,攻击者通过诱导用户执行非预期的操作来操纵他们已登录的Web应用程序。`CSRF-Request-Builder`是一个专门针对此威胁的测试工具,其核心...

    csrf漏洞.rar

    **CSRF(Cross-Site Request Forgery,跨站请求伪造)漏洞详解** CSRF是一种网络攻击方式,攻击者通过伪造用户的请求,使用户在不知情的情况下执行非本意的操作。这种漏洞通常发生在需要用户身份验证的Web应用中,...

Global site tag (gtag.js) - Google Analytics