首页 > 其他分享 >csrf 借刀杀人

csrf 借刀杀人

时间:2024-02-28 11:36:08浏览次数:30  
标签:自定义 烂仔 小白 手套 csrf 借刀杀人

思考:伏地魔是怎么在《哈利·波特与密室》 中是怎么搞事儿的?

csrf介绍

Cross-site request forgery(跨站请求伪造)

原理

小白在一个csgo的交易平台里面经常交易手套,因为他的远见卓识,通过交易手套(cookie 验证交易接口),小赚了一笔。

这时,烂仔盯上了他,在他 低价批量 买入手套的时候 ,通过给他发 烂仔自己构造的 劲爆图片网站,成功把他的手套全部转到了烂仔的户头上。

这中间 因为 浏览器 保存了 小白的cookie ,而烂仔自己的网站访问了 交易接口 导致小白的手套 白送给了 烂仔。

待到手套涨价时,小白苦兮兮,烂仔笑嘻嘻~

csrf 防御

  1. 尽量使用post请求(多整几个参数,让hacker看不懂)
  2. 加入验证码 (过程整复杂点,看你怎么构造)
  3. 验证referer (你的上一步也会被我看穿哦)
  4. Anti CSRF Token(高优,老子生成一个token,看你啷个偷)
  5. 加入自定义Header(老子自定义,你莫法了撒哈哈)

总结:伏地魔通过里德尔的日记,一步步引导别人,利用别人做本不可能做的事,到处搞事,我觉得这就是CSRF 之道,借刀杀人。

标签:自定义,烂仔,小白,手套,csrf,借刀杀人
From: https://www.cnblogs.com/hxdyjx/p/18039791

相关文章

  • 第六十四天 csrf, auth,中间件插拔解释
    一、csrf跨站请求伪造1.简介 钓鱼网站:假设是一个跟银行一模一样的网址页面用户在该页面上转账 账户的钱会减少但是受益人却不是自己想要转账的那个人2.模拟一台计算机上两个服务端不同端口启动钓鱼网站提交地址改为正规网站的地址deftransfer(request):ifreques......
  • laravel 419 csrf验证问题
    这次是被坑了,在linuxapache运行完好的代码放到IIS服务器上居然没有数据,检查发现居然出现了419错误,要求ajaxpost请求中应该包含csrftoken字段。然后就突然想起来了,上次相似的项目也发生过这样的问题,上次没记录,时日长久,这次居然一点儿也没想起来...按照错误提示,在ajaxpost请......
  • Django开发中csrf 的作用和含义以及用法
    在Django中,CSRF指的是跨站请求伪造(Cross-SiteRequestForgery)。这是一种网络入侵方法,入侵者诱使已认证的用户在他们不知情的情况下发送伪造的请求,比如在用户登录某个受信任网站后,在另一个标签页中访问恶意网站,恶意网站上的脚本可以发送请求到受信任网站,而这个请求会携带用户的......
  • 模板渲染成标签还是原封不动的字符串 标签(for,for ... empty,if,with,csrf_token)
    模板渲染成标签还是原封不动的字符串:#xss攻击:是什么,如何预防?django已经处理了xss攻击,它的处理原理是什么fromdjango.utils.safestringimportmark_safelink1='<ahref="https://www.baidu.com">点我<a>'link2=mark_safe(link1){link1|safe}  标签:1{%标签名%}......
  • CSRF & SSRF
    CSRF&SSRFCSRFCSRF(Cross-SiteRequestForgery)(跨站请求伪造漏洞)原理用户访问网站,网站给用户cookie,此时攻击者给用户发送了一个诱惑链接,链接里有对该网站的访问代码,用户点击攻击者的链接后,触发恶意代码,攻击者就利用用户的cookie,执行了对网站的请求(以接口形式调用请求)......
  • 什么是 CSRF 攻击?如何避免?
    什么是CSRF攻击?CSRF,跨站请求伪造(英文全称是Cross-siterequestforgery),是一种挟持用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF是如何攻击的?1.用户登陆银行,没有退出,浏览器包含了用户在银行的身份认证信息。2.攻击者将伪造的转账请求,包含在在帖子3......
  • Windows系统上禁用Jenkins跨站请求伪造(CSRF)保护功能
    禁用CSRF保护为了在Jenkins中禁用CSRF保护,请按照以下步骤操作:定位Jenkins服务在Windows搜索栏中输入services.msc,然后按Enter键打开服务。在服务列表中找到Jenkins服务。右键点击Jenkins服务,选择属性。修改Jenkins配置文件在Jenkins服务属性窗口中,找到路径到可执行......
  • 逻辑漏洞挖掘之CSRF漏洞原理分析及实战演练
    一、前言2月份的1.2亿条用户地址信息泄露再次给各大公司敲响了警钟,数据安全的重要性愈加凸显,这也更加坚定了我们推行安全测试常态化的决心。随着测试组安全测试常态化的推进,有更多的同事对逻辑漏洞产生了兴趣,本系列文章旨在揭秘逻辑漏洞的范围、原理及预防措施,逐步提升大家的安全......
  • [WEB安全] CSRF攻击和防御
    一、什么是CSRF  跨站请求伪造(英语:Cross-siterequestforgery),也被称为 one-clickattack 或者 sessionriding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的......
  • CSRF和SSRF有什么区别?网络安全入门
    CSRF和SSRF有什么区别?网络安全入门现在是万物互联时代,一切都是信息化的,会涉及到个人隐私信息,一些不法分子可能会利用一些手段获取我们的信息,信息泄露出去便会有危险,因此就诞生了网络安全工程师这个岗位,近几年它的需求量也很大,那CSRF和SSRF有什么区别呢?请看下文:CSRF:说到CSRF,就不得......