SEO禅在上一篇文章 中介绍了客户端最常见的 安全攻击漏洞 ,今天再来介绍一个同样很热门的一种攻击方法 ,CSRF英文全称: cross-site request forgery ,和XSS都有 Cross-Site ,但是他们的概念并不相同,XSS主要是通过获取受害者的Cookie,之后通过使用Cookie来完成攻击操作,而CSRF是直接伪造受害者身份,来达到攻击目的,这篇文章SEO禅来说说 什么是CSRF跨站请求伪造 和 怎么防范CSRF攻击 。 什么是跨站请求伪造CSRF? 首先我们先了解下什么是跨站请求伪造?简单的说是一种利用Cookie的攻击手段,攻击者利用受害者的Cookie,在CSRF漏洞网站,窃取,修改,删除受害者信息等操作,这种行为一般非常隐秘,攻击者所使用的诱饵网站一般都伪造的非常好,受害者通常是不会有被攻击的感觉,以为就是访问了一个正常网站,从上图可以看出来图B就是攻击者使用的伪造诱饵网站,hacker可能在论坛放了一个链接来引诱受害者访问这个诱饵网站,受害者以为访问的是网站B,其实请求是发往网站A的,请求中含有受害者的个人Cookie信息。 CSRF前提条件 要完成一次跨站请求伪造攻击,必须满足三个条件: 受害者登录正常网站,并且访问伪造网站时候没有退出登录状态(Session和Cookies没有被清除) 正常网站有相应的请求方法,比如说Get,POST等 请求方法中除了使用Cookies之外,没有多余的验证参数 其实只要站长留点心,要满足这三个条件还真是不容易,下面看一个简单的可以满足 CSRF攻击 的POST示例: CSRF举例 可以看到这个POST请求只需要提供Cookie就可以,这时候我们就可以在其他的网站伪造这个请求,然后利用一点 的方法,让受害者访问我们伪造的网站就行,下面使用HTML代码简单演示: 这时候只要受害者访问了这个网页,JS代码自动提交表单,完成跨站请求伪造攻击操作,这就是 CSRF的基本原理 ,具体的实施肯定要比这复杂的多,比如要做诱饵网站,要分析受害者行为特征,或者收集受害者信息等前期攻击准备。 跨站请求伪造防范 我们知道了CSRF的攻击原理和需要满足的条件,那我们就应该能很容易的想到如何去防范CSRF攻击,方法有很多,这里SEO禅只说一个比较简单,也比较流行的方法:客户端添加随机码让攻击者无法获取,这个就破坏了其中三个条件中的一个,增加了验证码,比如 : 就是在表单中插入一段随机码,之后同表单一起传回服务器进行认证,服务器事先会存储这个随机码,如果这个表单是第三方攻击者伪造的,这个随机码肯定是验证不通过的,具体在每个框架和语言都有不同的实现,但是原理都差不多,SEO禅这篇CSRF跨站请求伪造的文章就分享到这,有什么不懂得可以留言。 你可能想看: 2021网站服务器安全优化-跨站脚本攻击XSS 前一段时间SEO禅介绍了WebPageTest这个网站测速SEO工具,其中第一项分数就是安全测试,今天SEO禅就来分享一下关于如何防止网站被跨站脚本XSS攻击,首先还是老套路,做这件事之前我们要知道这... 2021网站服务器安全优化-SQL注入攻击 为什么SEO禅的博客不像其他SEO同行,SEO公司一样都是说SEO的内容呢?因为想做好SEO优化可以很简单,也可以不简单,很简单的方法大家应该都知道,那就是用一些手段让排名暂时靠前,不简单是因为,真要... 网站服务器安全优化-CORS跨域资源共享 做过前端开发的小伙伴肯定会遇到下面这样报红的error经历: 如果没有遇到,那你就还需要多努力努力了,这个错误就是今天SEO禅要说的CORS(Cross-origin resource sharing... 怎样迁移网站服务器和域名? 想要迁移网站,内容不变,但域名不同,服务器也不同,该如何整站迁移又不影响排名和SEO? 同一个服务器多个网站(虚拟主机)会影响SEO吗? 一个服务器下面有多个网站,且这些网站做的关键词基本都差不多,但架构内容都不一样,他们之间会相互影响SEO排名吗?搜索引擎(百度)会如何看待这些网站? 同一个服务器有多个网站对SEO有影响吗? 相信很多站长在开始建站的时候都有一个疑虑,那就是一个服务器上面放多个网站会不会影响到SEO优化效果?SEO禅帮企业做SEO优化的时候,基本都是推荐一个IP,一个服务器放一个网站,这样在优化网站排名的时... 亲密关系中的浪漫关系攻击:攻击、破坏关系的背后 在亲密关系中总会有许多“相爱相杀”的行为,这是一种“浪漫关系攻击”。 自己建网站怎么添加Google Analytics统计代码查看每日流量 自己安装WordPress网站后怎么知道网站有没有流量,每天有多少人访问,又是从哪里访问的你网站呢? 想要知道自己的网站有多少人访问,我们可以给网站添加一个统计代码,如果是外贸soho自建站,那么首先 更改搜索引擎蜘蛛的抓取速度,避免占用太多服务器资源 正常情况下,我们做Google SEO当然是希望搜索引擎蜘蛛可以天天在你网站里面爬行抓取内容,但是如果你的服务器有资源限制,那么可能Google蜘蛛太频繁的抓取你网站会导致服务器资源耗尽,或者网站打开 如何与缺乏安全感的伴侣建立“安全的关系”? 情感安全是一段健康关系的基石,它有助于增进亲密关系,增强情感幸福,甚至能够促进我们的身体健康。
2021网站服务器安全优化-跨站请求伪造攻击CSRF
2024-07-05 | 浏览: 31
SEO禅在上一篇文章 中介绍了客户端最常见的 安全攻击漏洞 ,今天再来介绍一个同样很热门的一种攻击方法 ,CSRF英文全称: cross-site request forgery ,和XSS都有 Cross-Site ,但是他们的概念并不相同,XSS主要是通过获取受害者的Cookie,之后通过使用Cookie来完成攻击操作,而CSRF是直接伪造受害者身份,来达到攻击目的,这篇文章SEO禅来说说 什么是CSRF跨站请求伪造 和 怎么防范CSRF攻击
。
什么是跨站请求伪造CSRF?首先我们先了解下什么是跨站请求伪造?简单的说是一种利用Cookie的攻击手段,攻击者利用受害者的Cookie,在CSRF漏洞网站,窃取,修改,删除受害者信息等操作,这种行为一般非常隐秘,攻击者所使用的诱饵网站一般都伪造的非常好,受害者通常是不会有被攻击的感觉,以为就是访问了一个正常网站,从上图可以看出来图B就是攻击者使用的伪造诱饵网站,hacker可能在论坛放了一个链接来引诱受害者访问这个诱饵网站,受害者以为访问的是网站B,其实请求是发往网站A的,请求中含有受害者的个人Cookie信息。
CSRF前提条件要完成一次跨站请求伪造攻击,必须满足三个条件:
其实只要站长留点心,要满足这三个条件还真是不容易,下面看一个简单的可以满足 CSRF攻击 的POST示例:
CSRF举例可以看到这个POST请求只需要提供Cookie就可以,这时候我们就可以在其他的网站伪造这个请求,然后利用一点 的方法,让受害者访问我们伪造的网站就行,下面使用HTML代码简单演示:
这时候只要受害者访问了这个网页,JS代码自动提交表单,完成跨站请求伪造攻击操作,这就是 CSRF的基本原理 ,具体的实施肯定要比这复杂的多,比如要做诱饵网站,要分析受害者行为特征,或者收集受害者信息等前期攻击准备。
跨站请求伪造防范我们知道了CSRF的攻击原理和需要满足的条件,那我们就应该能很容易的想到如何去防范CSRF攻击,方法有很多,这里SEO禅只说一个比较简单,也比较流行的方法:客户端添加随机码让攻击者无法获取,这个就破坏了其中三个条件中的一个,增加了验证码,比如 :
就是在表单中插入一段随机码,之后同表单一起传回服务器进行认证,服务器事先会存储这个随机码,如果这个表单是第三方攻击者伪造的,这个随机码肯定是验证不通过的,具体在每个框架和语言都有不同的实现,但是原理都差不多,SEO禅这篇CSRF跨站请求伪造的文章就分享到这,有什么不懂得可以留言。
2021网站服务器安全优化-跨站脚本攻击XSS
前一段时间SEO禅介绍了WebPageTest这个网站测速SEO工具,其中第一项分数就是安全测试,今天SEO禅就来分享一下关于如何防止网站被跨站脚本XSS攻击,首先还是老套路,做这件事之前我们要知道这...
2021网站服务器安全优化-SQL注入攻击
为什么SEO禅的博客不像其他SEO同行,SEO公司一样都是说SEO的内容呢?因为想做好SEO优化可以很简单,也可以不简单,很简单的方法大家应该都知道,那就是用一些手段让排名暂时靠前,不简单是因为,真要...
网站服务器安全优化-CORS跨域资源共享
做过前端开发的小伙伴肯定会遇到下面这样报红的error经历: 如果没有遇到,那你就还需要多努力努力了,这个错误就是今天SEO禅要说的CORS(Cross-origin resource sharing...
怎样迁移网站服务器和域名?
想要迁移网站,内容不变,但域名不同,服务器也不同,该如何整站迁移又不影响排名和SEO?
同一个服务器多个网站(虚拟主机)会影响SEO吗?
一个服务器下面有多个网站,且这些网站做的关键词基本都差不多,但架构内容都不一样,他们之间会相互影响SEO排名吗?搜索引擎(百度)会如何看待这些网站?
同一个服务器有多个网站对SEO有影响吗?
相信很多站长在开始建站的时候都有一个疑虑,那就是一个服务器上面放多个网站会不会影响到SEO优化效果?SEO禅帮企业做SEO优化的时候,基本都是推荐一个IP,一个服务器放一个网站,这样在优化网站排名的时...
亲密关系中的浪漫关系攻击:攻击、破坏关系的背后
在亲密关系中总会有许多“相爱相杀”的行为,这是一种“浪漫关系攻击”。
自己建网站怎么添加Google Analytics统计代码查看每日流量
自己安装WordPress网站后怎么知道网站有没有流量,每天有多少人访问,又是从哪里访问的你网站呢? 想要知道自己的网站有多少人访问,我们可以给网站添加一个统计代码,如果是外贸soho自建站,那么首先
更改搜索引擎蜘蛛的抓取速度,避免占用太多服务器资源
正常情况下,我们做Google SEO当然是希望搜索引擎蜘蛛可以天天在你网站里面爬行抓取内容,但是如果你的服务器有资源限制,那么可能Google蜘蛛太频繁的抓取你网站会导致服务器资源耗尽,或者网站打开
如何与缺乏安全感的伴侣建立“安全的关系”?
情感安全是一段健康关系的基石,它有助于增进亲密关系,增强情感幸福,甚至能够促进我们的身体健康。