一文带你学习跨站点请求伪造(CSRF)

  • 1.何为CSRF
  • 2.浏览器的Cookie策略
  • 3.P3P头的副作用
  • 4.CSRF攻击流程
  • 5.CSRF的分类
    • GET型
    • POST-表单型
    • POST-JSON型
  • 6.CSRF的快速验证
  • 7.CSRF的防御
    • 验证码
    • Referer Check
    • Anti CSRF Token

1.何为CSRF

CSRF的全名是Cross Site Request Forgery,翻译成中文就是跨站点请求伪造

CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任

例如现在有一个网站,只需要请求这个URL,就能够把编号为“156713012”的博客文章删除。

http://blog.sohu.com/manage/entry.do? m=delete&id=156713012

攻击者首先在自己的域构造一个页面:

其内容为:

<img src="http://blog.sohu.com/manage/entry.do? m=delete&id=156714243" />

攻击者诱使目标用户访问这个页面,从而执行CSRF攻击

该用户看到了一张无法显示的图片,但是不幸的式此时该用户的博客已经被删除

回顾整个攻击过程,攻击者仅仅诱使用户访问了一个页面,就以该用户身份在第三方站点里执行了一次操作。

这个删除博客文章的请求,是攻击者所伪造的,所以这种攻击就叫做“跨站点请求伪造”。

CSRF漏洞的根本是:简单的身份验证只能保证请求是发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的

一文带你学习跨站点请求伪造(CSRF)相关推荐

  1. 我要学ASP.NET MVC 3.0(十三): MVC 3.0 防止跨站点请求伪造 (CSRF) 攻击

    我要学ASP.NET MVC 3.0(十三): MVC 3.0 防止跨站点请求伪造 (CSRF) 攻击 概述      众所周知,ASP.Net MVC程序在浏览器运行时产生了标准的Html标签,包括 ...

  2. 跨站点请求伪造(CSRF)总结和防御

    什么是CRSF 构建一个地址,比如说是删除某个博客网站博客的链接,然后诱使已经登录过该网站的用户点击恶意链接,可能会导致用户通过自己的手将曾经发布在该网站的博客在不知情的情况下删除了.这种构建恶意链接 ...

  3. 跨站点请求伪造_十大常见web漏洞——跨站点请求伪造(CSRF)

    CSRF介绍 什么是CSRF呢?我们直接看例子. https://mp.toutiao.com/profile_v3/graphic/preview?do=delete&pgc_id=6829 ...

  4. Http跨站点请求伪造解决方案

    1.跨站点请求伪造 首先,什么是跨站点请求伪造? 跨站点请求伪造-CSRF(Cross Site Request Forgery):是一种网络攻击方式. 说的白话一点就是,别的站点伪造你的请求,最可怕 ...

  5. 带你刷burpsuite官方网络安全学院靶场(练兵场)之客户端漏洞——跨站请求伪造(CSRF)专题

    介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相 ...

  6. 持续集成部署Jenkins工作笔记0021---21.关闭防止跨站点请求伪造

    技术交流QQ群[JAVA,C++,Python,.NET,BigData,AI]:170933152 因为git的钩子上,并没有要求,说要带着jekins-crumb那个消息头,所以这里需要关闭这个 ...

  7. 如何解决跨站点请求伪造

    转载自:http://www.cnblogs.com/jimor/p/3417998.html IBM appscan扫描漏洞--跨站点请求伪造 appscan修订建议: 如果要避免 CSRF 攻击, ...

  8. 详解CSRF跨站点请求伪造

    CSRF攻击: CSRF跨站点请求伪造(Cross-Site Request Forgery):大概可以理解为攻击者盗用了你的身份,以你的名义在恶意网站发送恶意请求,对服务器来说这个请求是完全合法的, ...

  9. 安全测试之 CSRF 跨站点请求伪造

    原文由发表于TesterHome社区,点击原文链接可与作者直接交流. ▌CSRF 攻击 CSRF 跨站点请求伪造 (Cross-Site Request Forgery):大概可以理解为攻击者盗用了你 ...

最新文章

  1. iOS asset 中定义颜色,xib中便捷访问
  2. 前端开发学习Day27
  3. 在GitHub上使用Hexo 搭建自己的博客
  4. C语言 遍历字符串数组
  5. visual studio 2019 (vs) 显示右侧缩略图
  6. 数据结构(二)--队列
  7. 功率信号与能量信号的超棒理解!
  8. mysql递归查询所有上下节点_非递归打印二叉树的所有路径,保存父节点和孩子节点到底有啥差别...
  9. java中double与Integer直接比较大小是否可以?
  10. 深入理解VMware虚拟网络
  11. 《IT项目管理那些事儿》——CSDN蒋涛序
  12. 简析运维监控系统及Open-Falcon
  13. matlab 线性方程组 最小二乘解,超定方程组的最小二乘解
  14. R 包的手动打包流程
  15. 《HTTP 权威指南》—— 连接管理
  16. 微博html5版是电脑还是手机,搜狐微博推出手机触屏版 采用HTML5技术
  17. java完全自学手册(java完全自学手册pdf洪维恩)
  18. 工业面阵相机与源型PLC和漏型PLC外部触发接线
  19. 【致远FAQ】A6+Cloud__V1.0_A6+cloud的M3端地址保存提示:not found
  20. WDR7660虚拟服务器,tp-wdr7660设置wps方法_tp-wdr7660怎么设置wps-硬件之家

热门文章

  1. Mac通过brew安装Nodejs错误:Could not symlink lib/dtrace/node.d
  2. 高级图表常用颜色RGB参数
  3. java8 foreach 抛异常_Java Stream中的异常处理
  4. Excel使用技巧——提取混合单元格中的数字
  5. 采用igraph包分析网络数据
  6. html画星空,html5 canvas绘制全屏的星空背景动画特效
  7. Facebok的动画框架pop
  8. 计算机组成原理:循环冗余校验码CRC具备“一位纠错”功能的思考与探索
  9. python tkinter 表格 怎么设置字体大小_Tkinter动态字体大小更改
  10. 弘辽科技:拼多多商品转化率多少正常?怎么提高?