CSRF(跨站请求伪造)

简介: CSRF(跨站请求伪造)

Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。
打个比方:你登录了网页qq,你的好友发送了一个连接说:哥们给你看个好东西,你懂的图片。你点击过后发现网页qq退出了,密码登陆不上了,就是因为这个连接里面包含了一个修改qq密码的请求,这就是CSRF攻击。
CSRF攻击的前置条件:同浏览器在不退出网站A的情况下,访问网站B(不安全的连接)
本篇文章会使用pikachu的靶机演示CSRF攻击方法。

搭建方法:中文版Pikachu web靶机平台搭建指南,英语小白的福音
image.png

实战

1.打开burpsutie后,登录用户,点击修改个人信息。

image.png

image.png

2.查看burpsutie,放入Send to Repeater中修改内容重放,刷新页面发现修改成功。
image.png

image.png

3.点击右键生成一个CSRF poc页面,修改内容。
image.png

image.png

4.复制代码后,在自己的电脑上面新建一个txt文件用来模拟一个网站。注意是模拟哈。把刚刚复制的内容粘贴进去,保存。

image.png

5.修改文件后缀名为html页面文件。

image.png
image.png

6.使用同浏览器打开html文件,点击页面中的submit request,会发现跳转到了被修改的页面,页面中的内容也已经修改为想要的值。攻击成功。
注意:该步骤主要是演示跨站的情况,如果被攻击者点击后的效果,现实攻击中这个页面肯定不会这么粗糙,会伪装成各种充满诱惑的连接,你懂的。
image.png
image.png

网站如果有Token查看:BurpSuite进阶篇--自动识别Token值

总结:不要去访问一些非法网络,降低被攻击的风险,如果非要访问,当我没说。

相关文章
|
3月前
|
SQL 存储 安全
Web安全-CSRF跨站请求伪造
Web安全-CSRF跨站请求伪造
101 5
|
6月前
|
前端开发 JavaScript 安全
跨域问题与Django解决方案:深入解析跨域原理、请求处理与CSRF防护
跨域问题与Django解决方案:深入解析跨域原理、请求处理与CSRF防护
|
7月前
|
前端开发 安全 Go
CSRF 实验:更改请求方式绕过验证
CSRF 实验:更改请求方式绕过验证
|
7月前
|
安全 数据安全/隐私保护
第二轮学习笔记:CSRF跨站请求伪造漏洞
第二轮学习笔记:CSRF跨站请求伪造漏洞
52 0
|
7月前
|
JavaScript 安全 前端开发
js开发:请解释什么是XSS攻击和CSRF攻击,并说明如何防范这些攻击。
XSS和CSRF是两种常见的Web安全威胁。XSS攻击通过注入恶意脚本盗取用户信息或控制账户,防范措施包括输入验证、内容编码、HTTPOnly Cookie和CSP。CSRF攻击则诱使用户执行未经授权操作,防范手段有CSRF Tokens、双重验证、Referer检查和SameSite Cookie属性。开发者应采取这些防御措施并定期进行安全审计以增强应用安全性。
132 0
|
7月前
|
缓存 安全 JavaScript
前端安全:Vue应用中防范XSS和CSRF攻击
【4月更文挑战第23天】本文探讨了在Vue应用中防范XSS和CSRF攻击的重要性。XSS攻击通过注入恶意脚本威胁用户数据,而CSRF则利用用户身份发起非授权请求。防范措施包括:对输入内容转义、使用CSP、选择安全的库;采用Anti-CSRF令牌、同源策略和POST请求对抗CSRF;并实施代码审查、更新依赖及教育团队成员。通过这些实践,可提升Vue应用的安全性,抵御潜在攻击。
1008 0
|
24天前
|
安全 前端开发 JavaScript
什么是 CSRF 攻击?如何启用 CSRF 保护来抵御该攻击?
什么是 CSRF 攻击?如何启用 CSRF 保护来抵御该攻击?
64 5
|
1月前
|
存储 Web App开发 安全
如何防范 CSRF 攻击
CSRF(跨站请求伪造)攻击是一种常见的安全威胁。防范措施包括:使用Anti-CSRF Token、检查HTTP Referer、限制Cookie作用域、采用双重提交Cookie机制等,确保请求的合法性与安全性。
|
1月前
|
网络安全 数据安全/隐私保护
什么是 CSRF 攻击
CSRF(跨站请求伪造)攻击是指攻击者诱导用户点击恶意链接或提交表单,利用用户已登录的身份在目标网站上执行非授权操作,如转账、修改密码等。这种攻击通常通过嵌入恶意代码或链接实现。
|
1月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
96 4