2. 程式人生 > >csrf攻擊原理及防範

csrf攻擊原理及防範

阿新 發佈:2019-01-11

        CSRF 全拼為 Cross Site Request Forgery, 跨站請求偽造.CSRF指的是攻擊者盜用了你的身份,以你的名義傳送惡意的請求,給你造成個人隱私洩露及財產安全.

        CSRF攻擊的原理:

        ①使用者正常登入A銀行網站,

        ②A網站返回cookie資訊給使用者,瀏覽器儲存cookie資訊

        ③在A網站沒有退出登入的情況下(或者說cookie資訊沒過期), 登入了惡意網站B

        ④惡意網站B,提前準備好轉賬表單或者其它請求 ,將其隱藏. 把提交到A網站的按鈕設定為一個"領取優惠券"的圖片連結.使用者 點選連結

        ⑤在使用者主觀未知的情況下,訪問A網站,此時瀏覽器會自動攜帶cookie資訊

        ⑥A網站識別到cookie資訊,預設為是使用者本人做出的請求,根據請求做出相應的操作.

        ⑦使用者收到損失.

        CSRF如何防範?

        在請求引數中加入一個混淆字串csrf_token.

        簡單來說,伺服器在接受到請求後, 返回給使用者兩個csrf_token值, 一個放在cookie資訊中,瀏覽器會儲存,下次請求的時候瀏覽器自動攜帶.  一個放在前端頁面中(例如:表單域或者ajax的請求頭中), 當用戶再次向伺服器傳送資料的時候,  伺服器會對比cookie中和前端頁面中的csrf_token值,如果一樣,證明是使用者操作,如果不一樣,證明是非法操作.

        惡意網站B因為頁面是提前寫好的,無法獲取到csrf_token值(cookie同源策略),所以伺服器接受到請求的時候,會顯示非法操作,從而保證了使用者個人資訊的安全.解決了csrf攻擊

相關推薦

csrf攻擊原理防範

        CSRF 全拼為 Cross Site Request Forgery, 跨站請求偽造.CSRF指的是攻擊者盜用了你的身份,以你的名義傳送惡意的請求,給你造成個人隱私洩露及財產安全.        CSRF攻擊的原理:        ①使用者正常登入A銀行網站

CC攻擊原理防範方法和如何防範CC攻擊 如何防範CC攻擊

一、 CC攻擊的原理:    CC攻擊的原理就是攻擊者控制某些主機不停地發大量資料包給對方伺服器造成伺服器資源耗盡,一直到宕機崩潰。CC主要是用來消耗伺服器資源的,每個人都有這樣的體驗:當一個網頁訪問的人數特別多的時候,開啟網頁就慢了,CC就是模擬多個使用者(多少執行緒就是多少使用者)不停地進行訪

Django之sql注入,XSS攻擊CSRF攻擊原理防護

sql注入的危害非法操作使用者資料庫的資料來獲取利益,通過修改資料庫來修改網頁的內容,注入木馬等比如下面的使用者登入時進行sql注入class LoginUnsafeView(View): def get(self,request): return r

CSRF攻擊原理防禦

一、CSRF攻擊原理   CSRF是什麼呢?CSRF全名是Cross-site request forgery,是一種對網站的惡意利用,CSRF比XSS更具危險性。想要深入理解CSRF的攻擊特性我們有必要了解一下網站session的工作原理。   session我想大家都不陌生,無論你用.net或PHP

csrf攻擊原理防備

1,csrf(cross-site request forgery),跨站點偽造請求; 是 受害者使用者 登入訪問 可信任網站A,在沒有退出的情況下,又訪問量 不可信任惡意網站B,網站B盜用使用者身份,發出惡意請求; 站外本質:提交伺服器外部資料問題; 站內本質:伺服器內

web安全之XSS攻擊原理防範

閱讀目錄 一:什麼是XSS攻擊? 二:反射型XSS 三:儲存型XSS 四:DOM-based型XSS 五:SQL注入 六:XSS如何防範? 1. cookie安全策略 2. X-XSS-Protection設定 3. XSS防禦HTML編碼 4. XSS 防禦HTML Attrib

CSRF攻擊原理防範

 1、引言 跨站點請求偽造(Cross—Site Request Forgery).以下簡稱CSRF。是一種廣泛存在的網站漏洞。Gmail、YouTube等著名網站都有過CSRF漏洞.甚至包括“ING DIRECT”這樣的莢國第四大儲蓄銀行的金融機構網站。2009年3月

CC攻擊(Challenge Collapsar)原理防範方法

CC攻擊的原理 大家都有這樣的經歷,就是在訪問論壇時,如果這個論壇比較大,訪問的人比較多,開啟頁面的速度會比較慢,訪問的人越多,論壇的頁面越多,資料庫壓力就越大,被訪問的頻率也越高,佔用的系統資源也就相當可觀。 我們都知道網站的頁面有靜態和動態之分,動態網頁是需要與後臺資料庫進行互動的,比如

MITM(中間人攻擊原理防範初探(一)

http://blog.csdn.net/dj1174232716/article/details/38377135 不知道大家是否還記得,去年一個名為TH4CK的組織擼翻了很多大論壇,時候大家紛紛對其技術使用猜想,有說0day的,有說dns劫持的,也有說C段神馬的,當然也

愛創課堂每日一題第十二天 XSS原理防範?

前端 前端學習 前端入門 Xss(cross-site scripting)攻擊指的是攻擊者往Web頁面裏插入惡意 html標簽或者javascript代碼。比如:攻擊者在論壇中放一個看似安全的鏈接,騙取用戶點擊後,竊取cookie中的用戶私密信息;或者攻擊者在論壇中加一個惡意表單,當用戶提交表單

CSRF攻擊原理

pos 隱式 因此 AS 服務 理論 隱私權 簡單 驗證機制 CSRF CSRF(Cross-site request forgery)跨站請求偽造,CSRF是一種夾持用戶在已經登陸的web應用程序上執行非本意的操作的攻擊方式。相比於XSS,CSRF是利用了系統對頁面瀏覽

UDP反射DDoS攻擊原理防範

並保存 相關 程序 inf 系統 In 通過 打印 及其 東南大學:UDP反射DDoS攻擊原理和防範 2015-04-17 中國教育網絡 李剛 丁偉   反射攻擊的防範措施   上述協議安裝後由於有關服務默認處於開啟狀態,是其被利用的一個重要因素。因此,防範可以從配

CSRF原理防禦

簡解:CSRF的原理及防禦 簡解CSRF的原理及防禦 CSRF 原理 防禦 檢驗HTTP Referer

SQL注入原理防範

    前段時間部門遇到SQL注入攻擊,在此,我也分享一下自己的經驗和理解。     首先一個很重要的論點:SQL注入是可以完全杜絕的 SQL注入原因     通俗點講,SQL注入的根本原因是: "使用者輸入資料"意外變成了程式碼被執行。     "使用者輸入資料"我

常見拒絕服務型攻擊原理行為特徵

拒絕服務型攻擊: 拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問,是黑客常用的攻擊手段之一。這些資源包括磁碟空間、記憶體、程序甚至網路頻寬,從而阻止正常使用者的訪問。其實對網路頻寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫

XSS和CSRF原理防禦

XSS是跨站指令碼攻擊,是一種常見的web應用程式中的電腦保安漏洞,xss通過使用者端注入惡意的可執行指令碼,若伺服器對使用者輸入不進行處理,直接將使用者的輸入輸出到瀏覽器,然後瀏覽器將會執行注入的指令碼;可以直接寫一個可執行指令碼,也可以直接寫html,在標籤裡面寫一個惡意

深入理解跨站點 WebSocket 劫持漏洞的原理防範

序言 WebSocket 作為 HTML5 的新特性之一格外吸引著開發人員的注意,因為它的出現使得客戶端(主要指瀏覽器)提供對 Socket 的支援成為可能,從而在客戶端和伺服器之間提供了一個基於單 TCP 連線的雙向通道。對於實時性要求比較高的應用而言,譬如線上證

CSRF攻擊簡介防護方法

簡介: 跨站請求偽造(英語:Cross-site request forgery),也被稱為 one-click attack 或者 session riding,通常縮寫為 CSRF 或者 XSRF, 是一種挾制使用者在當前已登入的Web應用程式上執行非本意

DNS攻擊原理防範

一、DNS 是啥? DNS 是洋文“Domain Name System”的縮寫,直譯過來就是“域名系統”。 二、DNS 有啥用? 咱們每天打交道的這個網際網路,其底層的基石是“IP”。IP 是“Internet Protocol”的縮寫,中文就“網際網路協議”(光看名字就知道這玩意兒很重要)。

sql注入攻擊原理攻防

隨著B/S模式應用開發的發展,使用這種模式編寫應用程式的程式設計師也越來越多。但是由於這個行業的入門門檻不高,程式設計師的水平及經驗也參差不齊,相當大一部分程式設計師在編寫程式碼的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程式存在安全隱患。使用者可以提交一段資料庫查詢