【CSRF】

CSRF
原理:诱导用户在访问第三方site时,访问攻击者构造的site,攻击者site会对原site进行恶意操作。

burp模拟攻击:
对一个博客系统点击发布文章时,Burp Suite抓包,右键CSRF PoC功能 -> Engagament tools -> Generate CSTF Poc ,HTML代码为CSRF漏洞测试代码,对其代码发布到一个网站,再诱导 目标用户点击,则目标用户会自动发布一篇文章。

浏览器Cookie策略
CSRF攻击时,需要cookie的话,就要Cookie劫持。
浏览器Cookie分为:

  • “Session Cookie”
    浏览器关闭,则失效
  • “Third-party Cookie”。
    expire时间后失效

某些浏览器是禁止<img>,<iframe>,<script>,<link>等标签,跨域时传输"Third-party Cookie"。

如果网站返回给浏览器的HTTP头中包含有P3P头,则在某种程度上来说,将允许浏览器发送第三方Cookie。

P3P Header是W3C制定的一项关于隐私的标准,
全称是The Platform for Privacy Prefer-ences。

3 CSRF的防御
CSRF攻击往往是在用户不知情的情况下,构造了请求。

辅助手段:(2者都存在缺陷。)

  • 验证码
    强制与应用交互完成请求
  • Referer Check
    防止图片盗链和检测请求是否来自合法的源;

CSRF防御:
业界统一做法:使用一个Token:Anti CSRF Token

CSRF本质:是重要操作的所有参数都是可以被攻击者猜测到的。解决方案:把参数加密,或者使用一些随机数,从而让攻击者无法猜测到参数值。token:也由server生成,但server会检查用户传入与server端存储的是否一致。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/38242.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

洛谷 P3954 [NOIP2017 普及组] 成绩

本文由Jzwalliser原创&#xff0c;发布在CSDN平台上&#xff0c;遵循CC 4.0 BY-SA协议。 因此&#xff0c;若需转载/引用本文&#xff0c;请注明作者并附原文链接&#xff0c;且禁止删除/修改本段文字。 违者必究&#xff0c;谢谢配合。 个人主页&#xff1a;blog.csdn.net/jzw…

太阳能辐射系统加速材料老化的关键设备光照老化实验箱

光照老化实验箱概述 光照老化实验箱是一种模拟太阳光照射对材料影响的实验设备&#xff0c;主要用于加速材料的自然老化过程&#xff0c;以此来评估材料在实际使用环境中的耐久性和稳定性。该设备广泛应用于汽车、航空、建筑、塑料制品等行业&#xff0c;尤其在汽车领域&#…

多商户b2b2c商城系统怎么运营

B2B2C多用户商城系统支持多种运营模式&#xff0c;以满足不同类型和发展阶段的企业需求。以下是五大主要的运营模式&#xff1a; **1. 自营模式&#xff1a;**平台企业通过建立自营线上商城&#xff0c;整合自身多渠道业务。通过会员、商品、订单、财务和仓储等多用户商城管理系…

OK527N-C开发板-简单的性能测试

OK527N-C CoreMark 获取CoreMark源码 首先使用Git克隆仓库&#xff1a; git clone https://github.com/eembc/coremark.git cd coremark修改Makefile 首先复制文件夹 cp -rf posix ok527之后修改ok527文件夹下的core_portme.mak文件&#xff0c;将CC修改如下 CC aarch6…

CPU占用率飙升至100%:是攻击还是正常现象?

在运维和开发的日常工作中&#xff0c;CPU占用率突然飙升至100%往往是一个令人紧张的信号。这可能意味着服务器正在遭受攻击&#xff0c;但也可能是由于某些正常的、但资源密集型的任务或进程造成的。本文将探讨如何识别和应对服务器的异常CPU占用情况&#xff0c;并通过Python…

魔行观察-探鱼·鲜青椒爽麻烤鱼-开关店监测-时间段:2013年1月 至 2024年6月

今日监测对象&#xff1a;探鱼鲜青椒爽麻烤鱼&#xff0c;监测时间段&#xff1a;2011年1月 至 2024年6月 本文用到数据源免费获取地址 魔行观察http://www.wmomo.com/ 品牌介绍&#xff1a; 探鱼建立了产、供、销一体全链条式供应链体系&#xff0c;并在低纬珠江口特设潮汐…

大公司图纸管理的未来趋势

随着科技的不断发展&#xff0c;大公司图纸管理正朝着更加智能化、自动化和协同化的方向发展。以下是大公司图纸管理的未来趋势预测。 1. 智能化管理 利用人工智能和机器学习技术&#xff0c;实现图纸的自动分类、标注和检索。通过智能分析算法&#xff0c;预测图纸的使用趋势…

NSSCTF-Web题目19(数据库注入、文件上传、php非法传参)

目录 [LitCTF 2023]这是什么&#xff1f;SQL &#xff01;注一下 &#xff01; 1、题目 2、知识点 3、思路 [SWPUCTF 2023 秋季新生赛]Pingpingping 4、题目 5、知识点 6、思路 [LitCTF 2023]这是什么&#xff1f;SQL &#xff01;注一下 &#xff01; 1、题目 2、知识…

基于Vue的MOBA类游戏攻略分享平台

你好呀&#xff0c;我是计算机学姐码农小野&#xff01;如果有相关需求&#xff0c;可以私信联系我。 开发语言&#xff1a;Java 数据库&#xff1a;MySQL 技术&#xff1a;Java技术、SpringBoot框架、B/S模式、Vue.js 工具&#xff1a;MyEclipse、MySQL 系统展示 首页 用…

在 Windows 上,使用 icacls 命令让apache 用户有权访问

调试免费云服务器&#xff0c;三丰云&#xff0c;用户权限过程。 在 Windows 上&#xff0c;icacls 命令是一个非常强大的工具&#xff0c;用于修改文件和目录的权限。然而&#xff0c;需要注意的是&#xff0c;Windows 默认的 Web 服务器&#xff08;如 IIS&#xff09;通常运…

lstrip()方法——截掉字符串左边的空格或指定的字符

自学python如何成为大佬(目录):https://blog.csdn.net/weixin_67859959/article/details/139049996?spm1001.2014.3001.5501 语法参考 lstrip()方法用于截掉字符串左边的空格或指定的字符。lstrip()方法的语法格式如下&#xff1a; str.lstrip([chars]) 参数说明&#xff…

【算法】Merge Sort 合并排序

Merge Sort概述 分而治之算法 递归地将问题分解为多个子问题&#xff0c;直到它们变得简单易解 将解决方案组合起来&#xff0c;解决原有问题 O&#xff08;n*log&#xff08;n&#xff09;&#xff09;运行时间 基于比较的算法的最佳运行时间 一般原则 合并排序: 1. 将数…

elasticsearch镜像化安装部署

1、镜像安装 docker network create --driver bridge --subnet192.128.0.0/10 --gateway192.128.1.1 mynetwork docker run -d --netmynetwork --ip192.128.10.1 -p 1000:22 --name redhat-es01 -it c70d72aaebb4 /bin/bash #拉取镜像 docker pull elasticsearch:7.7.0 #启动…

【瞎折腾日常】服务器的cpu飙高到1000%了怎么破

一、故障起因 起因是用户反馈系统很卡,我登录普罗米修斯一看,发现docker部署得集群下的一个java应用服务器cpu爆了,直接冲到了1000%以上了,接着就是各种接口超时报警等,赶紧打开对应的服务器查看进程情况,这会使用jstack和top命令定位哪个线程占用的cpu比较大,定位代码问…

椭流线法设计配光器

椭流线法设计配光器 一、设计原理 1、边光原理 边光原理是非成像光学中的一个基础原理&#xff0c;其内容可以表述为&#xff1a;来自光源边缘的光线经过若干有序正则光学曲面后依然落在投射光斑的边缘&#xff0c;而来自光源内部的光线也将落在光斑内部。这里的边缘包含两层…

PyTorch(七)模型的保存与加载

#d 两种保存方式比较 仅保存模型参数 优点: 更加灵活&#xff0c;只保存模型的参数&#xff0c;不保存模型的结构&#xff0c;可以在不同的模型结构中加载参数&#xff08;只要参数匹配&#xff09;。文件大小通常比保存整个模型小。安全性更高&#xff0c;因为不直接执行pic…

机械拆装-基于Unity-总体设计

前言 在工业设计和制造领域&#xff0c;零部件的拆装技术是一个重要的应用场景&#xff0c;比如我们在工程训练课程中经历的摩托车发动机拆装课程&#xff0c;是机械类学生的必修课程。虚拟拆装系统模拟和仿真了模型的拆装过程&#xff0c;虽然SolidWorks等机械设计软件能够解决…

性能调优 性能监控

1.影响性能考虑点包括&#xff1a; 数据库、应用程序、中间件(tomcat、nginx)、网络和操作系统等方面。 首先考虑自己的应用属于 CPU密集型 还是 IO密集型 cpu密集型 计算&#xff0c;排序&#xff0c;分组查询&#xff0c;各种算法 IO密集型 网络传输&#xff0c;磁盘读…

大创项目推荐 题目:基于机器视觉opencv的手势检测 手势识别 算法 - 深度学习 卷积神经网络 opencv python

文章目录 1 简介2 传统机器视觉的手势检测2.1 轮廓检测法2.2 算法结果2.3 整体代码实现2.3.1 算法流程 3 深度学习方法做手势识别3.1 经典的卷积神经网络3.2 YOLO系列3.3 SSD3.4 实现步骤3.4.1 数据集3.4.2 图像预处理3.4.3 构建卷积神经网络结构3.4.4 实验训练过程及结果 3.5 …

zabbix报警机制,主动监控

zabbix思路流程 主动监控 默认zabbix使用的是被动监控&#xff0c;主被动监控都是针对被监控主机而言的。被动监控&#xff1a;Server向Agent发起请求&#xff0c;索取监控数据。此种模式常用主动监控&#xff1a;Agent向Server发起连接&#xff0c;向Server汇报 配置web2使用…