当前位置:首页 > 黑客业务 > 正文内容

跨站恳求假造CSRF防护办法

访客4年前 (2021-04-15)黑客业务888

 CSRF(Cross-site request forgery跨站恳求假造,也被称成为“one click attack”或许session riding,一般缩写为CSRF或许XSRF,是一种对网站的歹意使用。

(一)CSRF进犯原理

CSRF进犯原理比较简单,如图所示。其间Web A为存在CSRF缝隙的网站,Web B为进犯者构建的歹意网站,User C为Web A网站的合法用户。

①用户C翻开浏览器,拜访受信赖网站A,输入用户名和暗码恳求登录网站A;

②在用户信息经过验证后,网站A发生Cookie信息并回来给浏览器,此刻用户登录网站A成功,能够正常发送恳求到网站A;

③用户未退出网站A之前,在同一浏览器中,翻开一个TAB页拜访网站B;

④网站B接收到用户恳求后,回来一些进犯性代码,并宣布一个恳求要求拜访第三方站点A;

⑤浏览器在接收到这些进犯性代码后,依据网站B的恳求,在用户不知情的情况下带着Cookie信息,向网站A宣布恳求。

⑥网站A并不知道该恳求其实是由B建议的,所以会依据用户C的Cookie信息以C的权限处理该恳求,导致来自网站B的歹意代码被执行。

(二)CSRF缝隙防护

①验证HTTP Referer字段

依据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP恳求的来历地址。在一般情况下,拜访一个安全受限页面的恳求有必要来自于同一个网站。比方某银行的转账是经过用户拜访http://bank.test/test?page=10&userID=101&money=10000页面完结,用户有必要先登录bank.test,然后经过点击页面上的按钮来触发转账事情。当用户提交恳求时,该转账恳求的Referer值就会是转账按钮地点页面的URL(本例中,一般是以bank. test域名最初的地址)。而假如进犯者要对银行网站施行CSRF进犯,他只能在自己的网站结构恳求,当用户经过进犯者的网站发送恳求到银行时,该恳求的Referer是指向进犯者的网站。因而,要防护CSRF进犯,银行网站只需求关于每一个转账恳求验证其Referer值,假如是以bank. test最初的域名,则阐明该恳求是来自银行网站自己的恳求,是合法的。假如Referer是其他网站的话,就有可能是CSRF进犯,则回绝该恳求!

根据上面的办法咱们在java中能够选用Filter的方法阻拦并做好验证的处理,如下:咱们能够编写一个 Filter,并在 web.xml 中对其进行装备,使其关于拜访一切需求 CSRF 维护的资源的恳求进行阻拦!

1
2
3
4
5
6
7
8
 // 从 HTTP 头中获得 Referer 值
 String referer=request.getHeader("Referer");
 // 判别 Referer 是否以 bank.example 最初
 if((referer!=null) &&(referer.trim().startsWith(“bank.example”))){
    chain.doFilter(request, response);
 }else{
request.getRequestDispatcher(“error.jsp”).forward(request,response);
 }

[1] [2] [3]  黑客接单网

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106442.html

分享给朋友:

“跨站恳求假造CSRF防护办法” 的相关文章

猪肉怎么选?颜色有区别吗?今天做饭的时候发现上次买的猪肉颜色跟这

猪肉怎么选?颜色有区别吗?今天做饭的时候发现上次买的猪肉颜色跟这 买猪肉时,根据肉的颜色、外观、气味等可以判断出肉的质量是好还是坏。优质的猪肉,脂肪白而硬,且带有香味。肉的外面往往有一层稍带干燥的膜,肉质紧密,富有弹性,手指压后凹陷处立即复原。 次鲜肉肉色较鲜肉暗,缺乏光泽,脂肪呈灰白色;表面带...

今天猪肉价格多少钱一斤 「未来10天毛猪价格」

但是价格便宜点。比昨天下降 0点8;鸡蛋8点,我今天出售5头价格14点00,价格稳定;江苏活猪价15元/公斤左右,规模场品种猪价格在6点50-6,猪价或将有所回暖,点70元/斤之间,年的低迷期。 去年9月份以来,89元/公斤,山东省普通猪价格大约在6,从春节时的最高15元/公斤左右价格,现在江苏生猪...

蜂胶多少钱一瓶是真的(蜂胶五毒膏多少钱一只)

之前听说这客户有糖尿病,蜂胶就是物稀价贵,变成日常可以食用的营养品。 我经常买的澳佳宝的120左右220粒。如果是纯蜂蜜的话,一般是100-300之间的,59块钱一瓶,在100~300是左右不等,总钱黄酮大于4000mg/100g的含量,一定要注意通过正规的渠道购买,我只知道麦金利的。 蜂胶软胶囊价...

存储过程oracle(oracle财务系统)

推荐教程:甲骨文教程 本文主要介绍甲骨文中的数据转换。 1.日期转换成字符串(以2016年10月20日为例) 选择to_char(sysdate,& # 39;yyyy-mm-DD hh24:mi:ss & # 39;)strDateTime从dual-获取年-月-日:分:秒-...

书黑客,黑客软件破解吃鸡,网站黑客攻击工具

关于较新版别的Windbg,官网已不再支撑独自下载,只能经过Windows SDK里边勾选来装置,不过装置之后Redist目录会有x64/x86/arm的装置包,也可独立装置。 此次评选活动的意图在于,在安全社区中宣扬这些技能,让职业进步对安全的注重,一起也能让这些技能能遭到认可和铭记。 因而,根据...

intense靶场-获取User权限

出品|MS08067实验室(www.ms08067.com) 本文作者:jokelove(Ms08067内网安全小组成员) Intense是HTB中一个难度中上的靶场,需要参与者具备下述能力: 1. Python源码审计 2. SQL注入原理 3. SNMP远程命令执行 4. 栈溢出...

评论列表

孤央瘾然
3年前 (2022-07-06)

或许XSRF,是一种对网站的歹意使用。(一)CSRF进犯原理CSRF进犯原理比较简单,如图所示。其间Web A为存在CSRF缝隙的网站,Web B为进犯者构建的歹意网站,Use

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。