Web安全基础:客户端请求伪造

最新推荐文章于 2026-03-09 00:27:29 发布
原创 最新推荐文章于 2026-03-09 00:27:29 发布 · 524 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#web安全 #网络 #安全 #csrf

什么是 CSRF 攻击?

客户端请求伪造 CSRF (Cross-Site Request Forgery),攻击者诱使受害者在已认证的情况下执行非自愿的操作,导致未授权的请求在受害者的名义下被提交。它是通过欺骗用户浏览器发送一个不合法的请求(通常是修改数据或执行某种操作)来达到攻击目的,攻击者不需要直接获取受害者的账户信息就能进行攻击。

在这里插入图片描述

  • 受害者登录到网站:受害者在一个网站上登录并获得身份认证(如通过 Cookie 保持会话)。
  • 攻击者诱导受害者:攻击者通过某种方式诱导受害者访问恶意网站或点击恶意链接。这些链接或请求会利用受害者的认证信息(如 Cookie)发起请求。
  • 恶意请求被发出:当受害者浏览恶意网站时,网站上嵌入的恶意代码或链接会导致受害者的浏览器发送请求到受害者已经登录的目标网站(例如:转账请求、修改账户设置等)。
  • 目标网站执行操作:由于目标网站无法区分是合法的用户请求还是恶意的请求,它会认为请求来自受害者的浏览器,并执行相应的操作。

CSRF利用

GET型利用

假设某网站存在CSRF,用户已经登录了一个银行网站,攻击者构造了如下的链接发送给用户,只要用户访问就会向攻击者的账户转账100元:

http://bank.com/transfer?to=attacker&amount=100

短链接
在实际利用中,直接发送链接给用户目的太明显了,简单看一下都可以知道大概的功能,而短链接可以将链接地址的目的隐藏,攻击者会使用短链接服务将这个 URL 压缩成一个短链接:

https://short.link/xyz123

POST型

POST型相比GET型要稍微复杂,get型可以通过在url传参,而post则不可以,而攻击者可以通过构造页面来执行请求伪造,这里并不能直接用Javascript请求,因为Javascript会被浏览器的[[CORS(跨域资源共享)|CORS策略|]]阻拦。

<form action="http://socialmedia.com/post" method="POST" id="csrfForm">
  <input type="hidden" name="content" value="You won a lottery!" />
  <input type="hidden" name="token" value="valid-csrf-token" />
</form>
<script>
  document.getElementById('csrfForm').submit();
</script>

如何防止CSRF攻击?

  1. 使用Token机制:一种常见的防范方法是在表单中加入一个随机生成的Token(防伪标记),每次提交表单时都验证Token是否一致。这样攻击者无法知道Token,因此无法伪造有效请求。
  2. 检查请求头:服务器可以验证请求的RefererOrigin 头部,确保请求来源于同一个域名,拒绝来自外部站点的请求。
  3. 请求时使用双重身份验证:对于敏感操作(如转账、修改密码等),可以通过多因素身份验证(例如验证码)进行二次验证。
  4. . 防火墙和安全设置:部署Web应用防火墙(WAF)和定期进行安全性检查,发现并修复潜在的漏洞。
DneustadtCsrfCookieBundle:Symfony捆绑包,可为客户端应用程序提供跨站点请求伪造CSRF或XSRF)保护
02-04
CSRF Coo​​kie捆绑包 该捆绑包为客户端应用程序提供(CSRF或XSRF)保护,该客户端应用程序通过XHR请求由Symfony提供的端点。 在很大程度上受到影响和启发 要求 Symfony> = 5.x 工作方式 为了存储CSRF令牌客户端,可以通过一个或多个预定路由来设置包含令牌的cookie。 该捆绑包已预先配置,这样现代客户端的HTTP客户端(例如将自动获取所述cookie。 在对Symfony的后续请求中,可以将CSRF令牌添加到HTTP头以在服务器端进行验证。 同样,某些客户端可能已经自动这样做,例如Axios。 安装 使用安装此捆绑软件: composer requi
CSRF(客户端跨站请求伪造)---专篇
weixin_51519028的博客
09-17 1788
CSRF的一些知识
第二阶段 PHP代码审计之CSRF(客户端请求伪造)
qq_22132931的博客
11-24 895
PHP代码审计之CSRF(客户端请求伪造)
网络安全的神秘世界】csrf客户端请求伪造
菜鸟小羊的博客
09-16 1118
跨站请求伪造,是一种挟持用户在当前已登陆的web应用程序上执行非本意操作的攻击方法,允许攻击者诱导用户执行他们他不打算执行的操作该漏洞允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰【同源策略】:同网站下的域名只能访问本网站的资源,不能访问其他网站Web A为存在CSRF漏洞的业务网站,Web B为攻击者构建的恶意网站,1、用户打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A。
xss和csrf详解
weixin_33737774的博客
08-29 440
XSSCross site scripting,全称“跨站脚本”特点是不对服务器造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论时,提交含有js的内容文本,而服务器没有过滤掉或者转义掉这些脚本,作为内容发布到页面上,那么其他用户在访问的时候就会运行这些脚本。for example:​ // 用 &lt;script type="text/javascript"&gt;&lt;/scrip...
服务器端请求伪造漏洞
2201_75572825的博客
08-15 1936
gopher 协议是比 http 协议更早出现的协议,现在已经不常用了,但是在SSRF 漏洞利用中 gopher可以说是万金油,因为可以使用 gopher 发送各种格式的请求包,可以攻击内网的 FTP、Telnet、Redis.Memcache,也可以进行GET、POST请求,还可以攻击内网未授权MySQL。攻击者可以在SSRF漏洞中注入带有DNSLog服务地址的URL,并将该URL发送到目标服务器上,当目标服务器对该URL进行请求时,DNSLog服务将接收到请求并记录在日志中。回车换行使用%0d%0a。
攻防世界-Web 基础实战-No.1
最新发布
weixin_29228203的博客
03-09 82
本文是Web安全实战入门指南,以攻防世界平台的基础题目为例,手把手教学搭建环境、信息搜集、客户端交互及漏洞初探。内容涵盖查看源代码、robots.txt利用、HTTP请求方法、Cookie操作、前端限制绕过、弱口令爆破、命令执行、PHP代码审计及请求伪造等核心技能,旨在帮助零基础新手快速掌握Web安全攻防的思维与基础操作。
「 典型安全漏洞系列 」04.服务器端请求伪造SSRF详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-16 2667
实验室环境为支持库存检查功能的购物网站,存在SSRF漏洞,可以利用漏洞来使用管理员权限删除普通用户。。
CSRF客户端请求伪造
Cby121353的博客
09-10 1244
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种利用用户已登录的身份,在用户不知情的情况下执行非预期操作的攻击方式。攻击者通过诱骗用户访问恶意页面或点击恶意链接,利用浏览器的自动携带凭证机制(如Cookie),伪造合法用户的请求到目标网站。
Web安全之跨站请求伪造漏洞
qq_52358808的博客
10-04 2277
跨站请求伪造(CSRF)漏洞 跨站点的请求 请求伪造的(假装可信) Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 攻击者借用用户权限完成攻击,并没有获得用户权限 常见类型 正常的CSRF攻击,增删改等操作(基于操作的csrf) 另类的CSRF:JSONP、CORS、Flash跨域劫持(基于.
【burpsuite安全练兵场-客户端12】跨站点请求伪造CSRF-12个实验(全)
01-15 1万+
【BP靶场portswigger-客户端12-跨站点请求伪造CSRF】12个实验-万文详细步骤
CSRF(跨站请求伪造)详解
Y22Lee的博客
04-10 2260
CSRF全称Cross-Site Request Forgery,也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。当发现网站存在CSRF漏洞时,攻击者会利用网站源码,构建一个存有恶意请求的网站或者是链接,引诱受害者访问,那么当受害者在访问攻击者伪造的网站,同时,又在访问攻击者攻击的目标网站且没有关闭会话,那么攻击者就成功完成了CSRF攻击!攻击者可以发送请求包,比如:修改邮箱的,上传文件的等等。
服务器端请求伪造之基本介绍
qq_37107430的博客
01-02 2090
服务器端请求伪造(Server-side Request Forgery)简称SSRF,是指攻击者通过伪造服务器端请求,从而使服务器发起对第三方系统的攻击或访问。攻击者通常会使用受害者服务器上的应用程序作为代理来发起请求,以使请求看起来像是由服务器发起的。
如果一个用户的 token 被其他用户劫持了,怎样解决这个安全问题
Askrc
02-23 2万+
a、在存储的时候把 token 进行对称加密存储,用时解开。 b、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。c.HTTPS 对 URL 进行
服务器端请求伪造——SSRF
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
08-21 5650
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是由攻击者构造形成的由服务端发起请求的一个安全漏洞。 一般情况下,SSRF的攻击是目标网站的内部系统。 (因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人) 常见的攻击协议: http:// 用来探测是否存在ssrf gopher:// 一个分布型的文件搜集获取网络协议,没有默认端口,在WWW出现之前,Gopher 是Internet上最主要的检索工具。 dict:// 探测端
构造HTTP请求Header实现“伪造来源IP”(重在原理)
热门推荐
我的E家
12-17 3万+
转载自: http://zhangxugg-163-com.iteye.com/blog/1663687 http://www.walkerjava.com/index.php?m=blog&f=view&id=10 1. 伪造原理 在阅读本文前,大家要有一个概念,在实现正常的TCP/IP 双方通信情况下,是无法伪造来源 IP 的,也就是说,在 TCP/IP 协议中
Cookie、Session、Token、csrf跨域请求伪造
qq_39989608的博客
01-24 1122
Http无状态,所谓无状态就是说请求之间没有关联,前1秒你刚登录完,这时你想更改用户昵称又要输入用户名和密码进行身份验证。 Cookie cookie作用流程 用户输入用户信息,点击登录,浏览器发出登录http请求 服务器校验用户身份后,响应http请求,在response中添加头部Set-Cookie Set-Cookie key=value[;expire=<time>][;path=<path>][;domain=<domain>][;secure=<sec
crypto:避免客户端伪造请求数据
jupiter_888的博客
12-28 408
image.png 解决伪造用户 用户登陆获取token client端:username: password 验证通过后:server返回给用户 token :同时在 server端 存储 token:userid 键值对 client端: 每次接口请求,携带上token: ...
SSRF(服务端请求伪造)漏洞
谢公子的博客
12-12 1万+
目录 SSRF SSRF漏洞的挖掘 SSRF漏洞利用 SSRF漏洞防御 SSRF SSRF(Server-Side Request Forgery,服务器端请求伪造)漏洞,是一种由攻击者构造请求,由服务器端发起请求安全漏洞,本质上是属于信息泄露漏洞。 SSRF漏洞原理:很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fly不安全

打赏= 更新快+质量好,感谢

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值