首页 > 其他分享 >CSRF-介绍

CSRF-介绍

时间:2023-09-19 13:34:16浏览次数:42  
标签:请求 登录 网站 用户 介绍 CSRF 攻击者

CSRF:跨站请求伪造(Cross-site request forgery)CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。当用户访问含有恶意代码的网页时,会向指定正常网站发送非本人意愿的数据请求包(如转账给hack,向hack发送API等)如果此时用户恰好登录了该正常网站(也就是身份验证是正常的)就会执行该恶意代码的请求,从而造成CSRF。

与在XSS章节中提到的在博客里写入获取cookie的代码,在管理员登录后台查看时就会窃取其cookie有异曲同工之妙跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任

pikachu靶场试验CSRF模块里登录进去抓个包看看"修改个人信息"的请求包 理论上来说 如果攻击者在自己的页面伪造了含有这个请求包的代码,一旦用户上钩点进恶意网站且pikachu属于登录状态就会触发CSRF漏洞

1)win10:pikachu靶场(模拟正常登录网站)【IP:192.168.168.1】

 抓包查看请求数据包

 

这里是以GET方式请求 并将需要修改的数据传给服务器

ps:这里出现了Cookie,如果利用XSS漏洞在页面上插入并将Cookie发送给攻击者,那么攻击者会有机会直接登录用户的账号

2)win7:攻击者的恶意网站 【IP:192.168.168.128】

index.html

 3)用户访问攻击者恶意网站且pikachu是登录状态

 可以看到 用户如果没有查看将会无感的向攻击者指定的网站发送非本人的请求

 且会发现该请求带上了正确的Cookie(对网站来说视为其本人发起了一个请求且通过了Cookie验证)

 

小Tips:

    如果遇到了POST型,则需要构造一个表单提交按钮欺骗用户点击PS:超星尔雅学习通同样存在这样的CSRF,手法与该靶场演示手法类似,在校期间和同学进行实验点击链接后就可以更改其性别手机号等(当时戏称一键泰国变性XD)提交后对方以未对敏感数据造成影响打回了目前尚未修复,感兴趣的小伙伴可以自行尝试,手法及其相同,这里就不赘述了。

#防御方案
1)当用户发送重要的请求时需要输入原始密码 这样限制攻击者无法在完全无感的情况下执行CSRF,用户也会因此警觉
2)设置随机 Token Token:给用户第一次登录时设定的唯一值(且足够随机),在作出请求的时候必须携带这个  Token才会生效,一方面减少了重复请求量,一方面也避免了大部分CSRF攻击
3)同源策略,检验 referer 来源,请求时判断请求链接是否为当前管理员正在使用的页面(管理员在编辑文章,黑客发来恶意的修改密码链接,因为修改密码页面管理员并没有在操作,所以攻击失败)
4)设置验证码5)限制请求方式只能为 POST

 

 

翻译

搜索

复制

<iframe></iframe>

标签:请求,登录,网站,用户,介绍,CSRF,攻击者
From: https://www.cnblogs.com/TinKode123/p/17714373.html

相关文章

  • SSRF-介绍
     SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。SSRF攻击的目标一般是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)    SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没......
  • 14_RTOS介绍
    RTOS介绍概念RTOS:实时操作系统RTOS提供的事件驱动型设计方式,使得RTOS只是在处理实际任务时才会运行,这能够更合理的利用CPU。在实际项目中,如果程序等待一个超时事件,传统的无RTOS情况下,要么在原地一直等待而不能执行其它任务,要么使用复杂(相对RTOS提供的任务机制而言)的......
  • 支持SpEL表达式的自定义日志注解@SysLog介绍
    目录序言预期思路过程结果序言之前封装过一个日志注解,打印方法执行信息,功能较为单一不够灵活,近来兴趣来了,想重构下,使其支持表达式语法,以应对灵活的日志打印需求。该注解是方法层面的日志打印,如需更细的粒度,还请手撸log.xxx()。预期通过自定义注解,灵活的语法表达式,拦......
  • Gin内容介绍
    Gin内容介绍参考参考博客和文档:Gin框架介绍及使用Gin中文文档主要内容本教程主要从下面几个方面来进行讲解Gin框架基本使用GORM基本使用Web开发项目实战关于WebWeb是基于HTTP协议进行交互的应用网络Web就是通过使用浏览器/APP访问的各种资源一个......
  • 时间序列的重采样和pandas的resample方法介绍
    重采样是时间序列分析中处理时序数据的一项基本技术。它是关于将时间序列数据从一个频率转换到另一个频率,它可以更改数据的时间间隔,通过上采样增加粒度,或通过下采样减少粒度。在本文中,我们将深入研究Pandas中重新采样的关键问题。为什么重采样很重要?时间序列数据到达时通常带有......
  • 10年开发经验的程序员的自我介绍
       大家好,我是曾树敏。非常高兴有机会向大家介绍一下自己。我是一名有着10年IT行业工作经验的程序员。在过去的10年中,我一直致力于不断学习和提升自己的技术能力。我熟练掌握多种编程语言,如Java、Python和C++,以及常用的开发框架和工具。我能够快速分析问题并提供高效的解决......
  • C++中的深拷贝和浅拷贝介绍
    对于基本类型的数据以及简单的对象,它们之间的拷贝非常简单,就是按位复制内存。例如:classBase{public:Base():m_a(0),m_b(0){}Base(inta,intb):m_a(a),m_b(b){}private:intm_a;intm_b;};intmain(){in......
  • 自我介绍
    我是福州大学21级计算机科学与技术专业的102101118;我是不想摆烂的刘嘉峻;我平常喜欢:弹吉他,跑步,打羽毛球,健身等;我最喜欢麻辣烫(紫荆园1楼)心中有丘壑,立马定山河!   2023-09-1820:53:55......
  • 软工个人介绍
    我是102101608黄家卿!!!!!!我的爱好是画画画画画画画画各种画,剪剪剪剪剪各种影视剪辑;非常喜欢吃福大玫瑰园一楼的漳州鸭粉;怎么办我都蛮喜欢的,先推荐一首《神仙住在山林》吧,再来一首孙燕姿的《飘着》吧,再来一首林志炫的《没离开过》和《烟花易冷》,再来一首粤语歌《圆》吧,再来一首··......
  • Vue的介绍
    一 Vue简介Vue(读音 /vjuː/,类似于 view)是一套用于构建用户界面的渐进式框架与其它大型框架不同的是,Vue被设计为可以自底向上逐层应用Vue的核心库只关注视图层,不仅易于上手,还便于与第三方库或既有项目整合官网:https://cn.vuejs.org/ 二 Vue特点易用:通过HTML、......