CSRF( 跨站请求伪造 )

原理

CSRF是指攻击者利用已登录的用户身份 , 伪造用户请求 , 从而执行非法操作

触发点/检测

CSRF常出现在留言,论坛,后台管理,用户中心等功能

CSRF有三个前提

第一 , 目标用户处于登录状态

第二 , 后端代码逻辑不严谨 , 没有验证用户身份

第三 , 也是最重要的一点 , 用户点击恶意链接

检测CSRF最简单的方法就是抓取一个正常请求的数据包,去掉Referer再提交,如果提交还有效,就说明存在CSRF

防御

CSRF的防御主要在于验证用户身份 , 比如 验证 HTTP Referer , 验证 Token令牌

Referer用来确定请求的源地址,只要请求不是来自自家网站,就拒绝请求

除了Referer以外,也可以通过自定义的HTTP header来验证请求来源

而Token就像是用户的唯一标识,随机生成Token分别保存在客户端和服务端

提交请求的时候验证Token,Token不匹配,就拒绝请求

CSRF漏洞原理/防御相关推荐

  1. 漏洞原理防御(寒假)

    web常见漏洞总结与防御 1,sql注入 被广泛的应用于网站控制,在设计程序上,忽略对输入字符串中夹带的sql指令的检查,被数据库认为是正常的sql指令而运行,从而数据库受到攻击,导致数据库被窃取,更 ...

  2. 反序列化漏洞原理/防御

    序列化就是将对象转换成字节流,可以更方便的将数据保存到本地文件 反序列化就是将字节流还原成对象 Java中提供了两个接口来支持序列化,ObjectIutputStream()和ObjectOutput ...

  3. 代码执行漏洞原理/防御

    原理 代码执行漏洞是指 攻击者利用 将字符串转化成代码的函数 , 进行代码注入 触发点/检测 代码执行漏洞在Web端不容易发现,需要代码审计,重点在一些执行代码的函数,比如 eval();       ...

  4. XXE漏洞原理/防御

    原理 XXE又叫 XML外部实体注入 , 攻击者修改DTD引入的外部文件 , 从而执行攻击 , 比如读取任意文件 , 命令执行 , 内网探测 或者 DOS拒绝服务 防御 XXE的防御有两个方向 过滤 ...

  5. csrf漏洞防御方案_CSRF 漏洞原理详解及防御方法

    跨站请求伪造:攻击者可以劫持其他用户进行的一些请求,利用用户身份进行恶意操作. 例如:请求http://x.com/del.php?id=1是一个删除ID为1的账号,但是只有管理员才可以操作,如果攻击 ...

  6. 通俗易懂的csrf漏洞(token为什么能放cookie)

    csrf漏洞原理 csrf漏洞即跨站请求伪造,通俗来说即攻击者通过发送第三方网站(乱七八糟的网站)给你,然而这个网站中隐藏了对你已经登陆过的网站的一些请求,也就是含有你的身份认证信息,从而可以假扮你去 ...

  7. 网络安全笔记 -- CSRF漏洞、SSRF漏洞

    1. CSRF漏洞 1.1 CSRF漏洞原理 CSRF(Cross-Site Request Forgery:跨站点请求伪造) CSRF 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的 ...

  8. 《WEB安全漏洞100讲》(第4讲)CSRF漏洞

    1.CSRF漏洞原理 CSRF(Cross-site request forgery),跨站请求伪造,简写 CSRF/XSRF.指利用受害者尚未失效的身份认证信息(cookie.会话等),诱骗其点击恶 ...

  9. Web安全常见漏洞原理、危害及其修复建议

    web安全常见漏洞原理.危害及其修复建议 一. SQL注入漏洞 原理 危害 修复建议 二.XSS漏洞 原理 危害 修复建议 三. CSRF漏洞 原理 危害 修复建议 四. SSRF漏洞 原理 危害 预 ...

最新文章

  1. 数据蒋堂 | 多维分析预汇总的存储容量
  2. android编译的错误日志,Android Studio:编译器错误输出窗口在哪里?
  3. pyecharts怎么绘制散点图_PyeCharts绘制各种图形
  4. delphi控件切图界面闪烁_先本设计教你跳过UI小程序的七个坑
  5. 上下两个x轴_工业机器人到底有多少个“轴”?
  6. 正则中关于环视(lookaround)的小例子
  7. mui ajax方法
  8. Jzoj5231 序列问题
  9. 搭建nginx服务器
  10. 统计通话次数和时间的软件_通话时间统计app下载-通话时间统计v2.5 安卓版-腾牛安卓网...
  11. sas不能安装独立的java_sas安装问题java platform standard edition runtime environment
  12. Keil uVision5 MDK-ARM 程序使用—————中文图解
  13. 2020全国各地男女身高排行出炉,从数据看南北差异到底有多大?
  14. html修改导航栏字体大小,CSS 制作网页导航条(下)
  15. blast在linux上的用法
  16. java金蝶星空云金蝶Java 对接 金蝶云星空 接口 对接 金蝶API 对接 金蝶 接口 解决 会话失效 问题 会话已失效,请重新登录
  17. C#毕业设计——基于C#+asp.net+sqlserver的学生成绩管理系统设计与实现(毕业论文+程序源码)——成绩管理系统
  18. K均值算法(继续优化中)
  19. 微信小程序页面之间传参,发表说说
  20. PPI是什么?pixels per inch像素密度是什么?PPI如何计算?

热门文章

  1. Javascript返回顶部和砸金蛋,跑马灯等游戏代码实现
  2. 浅拷贝(副本)与深拷贝
  3. css的3d注意事项
  4. 一分钟区分一流公司、二流公司、三流公司(转)
  5. Android-动画简介
  6. 採集和输出 DeckLink Studio 4K
  7. [转帖] 启动多个Tomcat 需要修改的端口
  8. vim中字体和配色方案设置
  9. Windows via C/C++ 学习(8)CreateProcess 函数
  10. C++提高部分_C++函数模板_注意事项---C++语言工作笔记082