web安全---CSRF漏洞/OWASP-CSRFTester的使用

what

跨站请求伪造  Cross Site Request Forgery

how

攻击者诱骗点击恶意网页,盗用(伪造)受害者的身份,以受害者的名义向服务器发送恶意请求,而这种恶意请求在服务端看起来是正常请求

CSRF&&XSS区别

他们最本质区别就是xss需要提前注入恶意代码直接或间接触发漏洞从而泄露cookie信息,但是CSRF本身并不会需要劫持cookie信息就能实现对网站的控制与更改。

触发条件

触发条件其实是比较严苛的----

  1. 用户成功登录页面
  2. 修改密码等信息不需要用户二次确认
  3. 攻击者要提前明了参数构造格式
    1. 注册同一网站账号
    2. 找到网站内容模板
    3. 参数字典---模糊测试
  4. 诱导用户在同一浏览器下既登录攻击目标网站又点击了恶意链接---要让用户心甘情愿不知不觉的点击需要社会工程学与web伪造页面的加持

漏洞检测

抓取一个正常请求的数据包,去掉Referer字段后再重新提交,如果该提交还有效,那么基本上可以确定存在CSRF漏洞。

Referer字段:根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。

漏洞利用

实验环境

利用靶场:骑士 CMS

需要额外搭建一台服务器,放入恶意代码伪装的html

burp suit实现需改新建管理员密码

先声明使用burp suit不是本意,前提是我们需要知道 参数构造格式

截获新建管理员的post请求如图用CSRF POC生成html代码,这里需要我们手动把内容粘贴到txt

并对想修改的信息(密码/邮箱)更改然后生成.html 然后将这个.html放入我们新搭建的服务器www


 这是burp suit自动生成的网页,需要点击按钮就执行恶意代码

当然前提还是浏览器同时运行成功登录的管理页面(这里为本地路径,应该为服务器存放网页的路径)

 点击后就自动跳转为更改成功的页面,但是这里更改的信息就是按照攻击者的请求进行的

OWASP-CSRFTester实现同样功能

他的实现原理和通过burp suite一样,但是相比较两个最大好处 :

不需要拦截数据包

生成的恶意连接不需要受害人点击只要打开直接执行

和burp suit一样要设置代理,根据提示让他监听8008端口

 点击右上角的 start recoding 就能监听当前所有的get/post请求,受害者执行新建用户操作是一个post请求,通过右下部分表单来定位到这个请求,然后右下角生成表单存在本地(display in browser要取消勾选要不然生成表单会弹出一个网页)

存在本地的是一个html文件 将他记事本打开就能发现密码等重要信息,改就完了

 

点击后没有任何跳转页面,但是再输入原本的用户post请求的账号密码无法登录,说明已经被更改密码

漏洞防御

 服务端防御

1.验证HTTP Referer字段 ----访问一个安全受限页面的请求必须来自于同一个网站。

2.在请求地址中添加token并验证

---在请求中放入攻击者所不能伪造的信息,并且该信息不存在于Cookie之中。鉴于此,系统开发者可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。

3.同源策略

---何为同源:两个页面 协议 域名 端口相同  同源策略规定了不同源自建如何进行资源交互

同源策略是浏览器的行为,是为了保护本地数据不被JavaScript代码获取回来的数据污染,即请求发送了,服务器响应了,但是无法被浏览器接收。

4.在HTTP头中自定义属性并验证

5.使用验证码或者密码确认方式进行 

客户端防御

事在人为

不要点击陌生链接

不要长时间登录管理界面

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/5826.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

「笔试刷题」:数组中的最长连续子序列

一、题目 描述 给定无序数组arr,返回其中最长的连续序列的长度(要求值连续,位置可以不连续,例如 3,4,5,6为连续的自然数) 数据范围:1≤n≤10^5,数组中的值满足 1≤val≤10^8 要求:空间复杂度 O(n)&#…

十大排序算法之->插入排序

一、插入排序 插入排序的基本思想是将一个记录插入到已经排好序的有序表中,从而形成一个新的、记录数增1的有序表。 排序过程: 1、外层循环:从第二个元素开始,依次选取未排序的元素。 2、内层循环:将当前选取的元素…

数据库(MySQL)基础:函数

函数:是指一段可以直接被另一段程序调用的程序或代码。 1.字符串函数 MySQL中内置了很多字符串函数,常用的几个如下: 函数功能concat(S1,S2,...Sn)字符串拼接,将S1,S2,...Sn拼接成一个字符串lower(str)将字符串str全部转为小写…

C++成员初始化列表

我们在类的构造函数中使用成员初始化列表可以带来效率上的提升,那么成员初始化列表在编译后会发生什么就是这篇文章要探究的问题 文章目录 引入成员初始化列表用成员初始化列表优化上面的代码成员初始化列表展开成员初始化列表的潜在危险 参考资料 引入 考虑下面这…

IGM焊接机器人RTE 495伺服电机维修详情一览

在当今科技迅速发展的时代,机器人已成为各行各业不可或缺的重要工具。IGM机器人便是其中之一,其工业机械手伺服马达作为机器人的关键部件,确保机器人能够高效、稳定地运行。当出现IGM焊接机器人RTE 495伺服电机故障问题时,及时进行…

Kafka介绍、安装以及操作

Kafka消息中间件 1.Kafka介绍 1.1 What is Kafka? 官网: https://kafka.apache.org/超过 80% 的财富 100 强公司信任并使用 Kafka ;Apache Kafka 是一个开源分布式事件流平台,被数千家公司用于高性能数据管道、流分析、数据集成…

【校招】校园招聘中的签约环节,面完HR后的流程(意向书,offer选择与三方协议)

【校招】校园招聘中的签约环节,面完HR后的流程(意向书,offer选择与三方协议) 文章目录 一、面完HR后的流程1、口头oc、谈薪(两个电话)2、邮件意向书、带薪offer(两封邮件)3、签三方&…

Spring Clound介绍

Spring Cloud 是一系列框架的集合,它利用 Spring Boot 的开发便利性简化了分布式系统(例如配置管理、服务发现、断路器、智能路由、微代理、控制总线、一次性令牌、全局锁、领导选举、分布式会话和集群状态)的开发。Spring Cloud 旨在为开发者…

JavaScript调用对象内部属性和方法的语法

在JavaScript中,我们可以通过以下几种方式来调用对象内部的属性和方法: 使用点符号(.)来访问对象的属性和方法。例如: var obj {name: John,age: 30,sayHello: function() {console.log(Hello!);} };console.log(ob…

axios.get请求 重复键问题??

封装的接口方法: 数据: 多选框多选后 能得到对应的数组 但是请求的载荷却是这样的,导致会请求不到数据 departmentChecks 的格式看起来是一个数组,但是通常 HTTP 请求的查询参数不支持使用相同的键(key)名多次。如…

【WEEK9】Learning Objectives and Summaries【Spring Boot】【English Version】

Learning Objectives: Learning SpringBoot Learning Content: Reference video tutorials【狂神说Java】SpringBoot最新教程IDEA版通俗易懂YAML configuration injectionJSR303 data validationMulti-environment switchingAuto Configuration PrincipleWeb development to …

Ubuntu 4G模块域名ping不通

Ubuntu 4G模块域名ping不通 1. 问题2. 解决办法 1. 问题 Ubuntu 用4G模块上网,ping ip可以,但是 域名 ping 不通 查了网络和DNS解析配置都没问题 2. 解决办法 关闭调制解调管理器 stop systemctl stop ModemManager stop systemctl disable ModemMana…

职场商务口才培训沙龙(3篇)

职场商务口才培训沙龙(3篇) 职场商务口才培训沙龙是一个为职场人士提供交流、学习和提升商务口才能力的平台。以下是关于职场商务口才培训沙龙的三篇内容概述: **篇:基础沟通与表达技巧沙龙 主题:构建有效的商务沟通…

汇编语言-adc、sbb以及cmp指令

adc指令: adc 是带进位加法指令,它利用了CF位上记录的进位值 指令格式: adc 操作对象1,操作对象2 功能: 操作对象1 操作对象1 操作对象2 CF 例如指令 adc ax,bx 实现的功能是: (ax)(ax)(bx)CF 例如: mov ax,2 …

带宽的理解-笔记

带宽的理解 带宽(频带宽度):是指电磁波最高频率和最低频率的差值,这一段频率被称为带宽。 举例说明 人耳能听到的频率范围是20赫兹到2万赫兹。换句话说,人而只对20赫兹至2万赫兹的声音频率有反应,超出或低于这一频率范围的声音我…

B+树详解与实现

B树详解与实现 一、引言二、B树的定义三、B树的插入四、B树的删除五、B树的查找效率六、B树与B树的区别和联系 一、引言 B树是一种树数据结构,通常用于数据库和操作系统的文件系统中。它的特点是能够保持数据稳定有序,其插入与修改拥有较稳定的对数时间…

ngrinder项目-本地调试遇到的坑

前提-maven mirrors配置 <mirrors><!--阿里公有仓库--><mirror><id>nexus-aliyun</id><mirrorOf>central</mirrorOf><name>Nexus aliyun</name><url>http://maven.aliyun.com/nexus/content/groups/public</ur…

借助Aspose.SVG图像控件,在线将 PNG 转换为 XML

Aspose.SVG for .NET 是用于SVG文件处理的灵活库&#xff0c;并且与其规范完全兼容。API可以轻松加载&#xff0c;保存和转换SVG文件&#xff0c;以及通过其文档对象模型&#xff08;DOM&#xff09;读取和遍历文件的元素。API独立于任何其他软件&#xff0c;使开发人员无需使用…

分布式与一致性协议之Raft算法(一)

Raft算法 概述 Raft算法属于Multi-Paxos算法&#xff0c;它在兰伯特Multi-Paxos思想的基础上做了一些简化和限制&#xff0c;比如日志必须是连续的&#xff0c;只支持领导者(Leader)、跟随者(Follwer)和候选人(Candidate)3种状态。在理解和算法实现上&#xff0c;Raft算法相对…

基于Springboot的大学生社团活动平台

基于SpringbootVue的大学生社团活动平台设计与实现 开发语言&#xff1a;Java数据库&#xff1a;MySQL技术&#xff1a;SpringbootMybatis工具&#xff1a;IDEA、Maven、Navicat 系统展示 用户登录 首页 社团信息 社团活动 社团论坛 社团资讯 后台登录 后台首页 学生管理 社…