国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁(yè)
  2. >Toy博客

瀏覽器基礎(chǔ)原理-安全: CSRF攻擊

2年前作者:CaptainDrake分類:Toy博客閱讀(24)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了瀏覽器基礎(chǔ)原理-安全: CSRF攻擊。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

CSRF(Cross-site request forgery)跨站請(qǐng)求偽造

概念: 是指黑客引誘用戶打開黑客的網(wǎng)站,在黑客的網(wǎng)站中,利用用戶的登錄狀態(tài)發(fā)起的跨站請(qǐng)求。簡(jiǎn)單來(lái)講,CSRF 攻擊指黑客利用了用戶的登錄狀態(tài),并通過第三方的站點(diǎn)來(lái)做一些壞事。

攻擊方式:

1-自動(dòng)發(fā)起 Get 請(qǐng)求

比如將轉(zhuǎn)賬請(qǐng)求隱藏在 img 標(biāo)簽內(nèi), 欺騙瀏覽器這是一張圖片, 等加載時(shí), 再發(fā)起轉(zhuǎn)賬請(qǐng)求

2-自動(dòng)發(fā)起 POST 請(qǐng)求

網(wǎng)頁(yè)內(nèi)構(gòu)建隱藏表單, 里面含有轉(zhuǎn)賬接口. 通過誘導(dǎo)用戶登陸的方式, 來(lái)讓表單自動(dòng)提交, 從而執(zhí)行轉(zhuǎn)賬操作.

3-引誘用戶點(diǎn)擊鏈接

通過誘導(dǎo)用戶點(diǎn)擊含有轉(zhuǎn)賬接口的鏈接, 來(lái)實(shí)現(xiàn)用戶資金的轉(zhuǎn)移.

綜上, CSRF攻擊不需要將惡意代碼注入用戶的頁(yè)面, 而是利用服務(wù)器的漏洞和用戶的登錄狀態(tài)來(lái)實(shí)現(xiàn)出乎意料的攻擊.

如何防止 CSRF 攻擊:

發(fā)起 CSRF 攻擊的三個(gè)必要條件:

1-目標(biāo)網(wǎng)站要有 CSRF 漏洞

2-用戶要登錄過目標(biāo)站點(diǎn), 并且在瀏覽器上保持有該站點(diǎn)的登錄狀態(tài)

3-需要用戶打開一個(gè)第三方站點(diǎn), 可以是黑客的站點(diǎn), 也可以是一些論壇

滿足以上三個(gè)條件, 黑客就可以進(jìn)行 CSRF 攻擊了.

如何讓服務(wù)器避免遭受到 CSRF 攻擊, 通常有以下幾種途徑:

1-充分利用好 Cookie 的 SameSite 屬性

設(shè)定 Cookie 中的 SameSite 屬性來(lái)實(shí)現(xiàn)對(duì)某些關(guān)鍵 Cookie 數(shù)據(jù)的傳送

2-驗(yàn)證請(qǐng)求的來(lái)源站點(diǎn)

通過設(shè)定HTTP請(qǐng)求頭中的Referer和Origin屬性來(lái)判斷是否禁止第三方站點(diǎn)的請(qǐng)求

3-CSRF Token

在向服務(wù)器發(fā)起請(qǐng)求時(shí), 服務(wù)器生成一個(gè) CSRF Token. 若用戶端要發(fā)起轉(zhuǎn)賬請(qǐng)求, 則需要帶上這個(gè)Token, 同時(shí) 服務(wù)器 會(huì)檢驗(yàn)該 Token 是否合法, 若是第三方發(fā)起的請(qǐng)求, 沒有或者非法都會(huì)導(dǎo)致拒絕.

參考: 極客時(shí)間-瀏覽器工作原理與實(shí)踐文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-504475.html

到了這里,關(guān)于瀏覽器基礎(chǔ)原理-安全: CSRF攻擊的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來(lái)自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 瀏覽器安全攻擊與防御

    瀏覽器是我們?cè)L問互聯(lián)網(wǎng)的主要工具,也是我們接觸信息的主要渠道。但是,瀏覽器也可能成為攻擊者利用的突破口,通過各種手段,竊取或篡改我們的數(shù)據(jù),甚至控制我們的設(shè)備.本文將向大家介紹一些常見的瀏覽器安全的攻擊方式和防御機(jī)制 一. 跨站腳本攻擊(XSS) 利用

    2024年02月05日
    瀏覽(20)
  • 社會(huì)工程攻擊、會(huì)話安全、瀏覽器安全

    社會(huì)工程攻擊、會(huì)話安全、瀏覽器安全

    1.社會(huì)工程攻擊 2.網(wǎng)站攻擊模塊 3.tabnabbing攻擊方法 1.檢測(cè)漏洞是否存在 本機(jī)cmd查找,輸入被攻擊的ip地址 2.藍(lán)屏攻擊 運(yùn)用python 3.漏洞攻擊 開后門以及kali監(jiān)聽 Cookie和會(huì)話安全 Cookie 和會(huì)話是 Web 應(yīng)用中的基礎(chǔ)概念,有了會(huì)話的機(jī)制,Web 應(yīng)用才能記住訪問者的狀態(tài)。在長(zhǎng)連接的

    2024年01月17日
    瀏覽(28)
  • 基礎(chǔ)安全:CSRF攻擊原理與防范

    基礎(chǔ)安全:CSRF攻擊原理與防范

    CSRF ( Cross-Site Request Forgery )中文名為“跨站請(qǐng)求偽造”。這是一種常見的網(wǎng)絡(luò)攻擊手段,攻擊者通過構(gòu)造惡意請(qǐng)求,誘騙已登錄的合法用戶在不知情的情況下執(zhí)行非本意的操作。這種攻擊方式利用了Web應(yīng)用程序中用戶身份驗(yàn)證的漏洞,即瀏覽器在用戶完成登錄后會(huì)自動(dòng)攜帶

    2024年04月28日
    瀏覽(15)

  • 瀏覽器原理 之 瀏覽器安全

    XSS 攻擊,即跨站腳本攻擊(Cross-Site Scripting),是一種常見的網(wǎng)絡(luò)安全漏洞,它允許攻擊者將惡意腳本注入到其他用戶瀏覽的正常網(wǎng)頁(yè)中。這些惡意腳本通常以 JavaScript 形式出現(xiàn),并在用戶的瀏覽器中執(zhí)行。執(zhí)行的結(jié)果可以是竊取用戶的cookies、會(huì)話令牌,或者對(duì)用戶的賬戶進(jìn)

    2024年04月25日
    瀏覽(23)

  • 前端面試的話術(shù)集錦第 7 篇:高頻考點(diǎn)(瀏覽器渲染原理 & 安全防范)

    這是記錄 前端面試的話術(shù)集錦第七篇博文——高頻考點(diǎn)(瀏覽器渲染原理 安全防范) ,我會(huì)不斷更新該博文。??? 注意:該章節(jié)都是?個(gè)?試題。 1.1.1 瀏覽器接收到HTML?件并轉(zhuǎn)換為DOM樹 當(dāng)我們打開?個(gè)??時(shí),瀏覽器都會(huì)去請(qǐng)求對(duì)應(yīng)的 HTML ?件。雖然平時(shí)我們寫代碼時(shí)

    2024年02月03日
    瀏覽(26)

  • 瀏覽器滲透攻擊-滲透測(cè)試模擬環(huán)境(9)

    介紹了瀏覽器供給面和堆噴射技術(shù)。 “客戶端最流行的應(yīng)用軟件是什么,大家知道嗎?” 這個(gè)簡(jiǎn)單的問題,你當(dāng)然不會(huì)放過:“當(dāng)然是瀏覽器,國(guó)內(nèi)用得最多的估計(jì)還是 IE 瀏覽器,其實(shí) 360安全瀏覽器遨游啥的也都是基于IE內(nèi)核的?!?“OK,瀏覽器是客戶端滲透攻擊的首要目標(biāo)

    2024年02月07日
    瀏覽(27)
  • XSS攻擊:利用Beef劫持被攻擊者客戶端瀏覽器

    XSS攻擊:利用Beef劫持被攻擊者客戶端瀏覽器

    實(shí)驗(yàn)?zāi)康模毫私馐裁词荴SS;了解XSS攻擊實(shí)施,理解防御XSS攻擊的方法 系統(tǒng)環(huán)境:Kali Linux 2、Windows Server 網(wǎng)絡(luò)環(huán)境:交換網(wǎng)絡(luò)結(jié)構(gòu) 實(shí)驗(yàn)工具: Beef;AWVS(Acunetix Web Vulnarability Scanner) 實(shí)驗(yàn)步驟: 實(shí)驗(yàn)環(huán)境搭建。 角色:留言簿網(wǎng)站。存在XSS漏洞;(IIS或Apache、guestbook搭建) 攻擊者

    2024年02月03日
    瀏覽(25)

  • 局域網(wǎng)中ARP攻擊和瀏覽器挾持的解決方法

    在局域網(wǎng)中,通過ARP協(xié)議來(lái)進(jìn)行IP地址(第三層)與第二層物理地址(即MAC地址)的相互轉(zhuǎn)換。網(wǎng)吧中的一些設(shè)備如路由器、裝有TCP/IP協(xié)議的電腦等都提供ARP緩存表,以提高通信速度。目前很多帶有ARP欺騙功能的攻擊軟件都是利用ARP協(xié)議的這個(gè)特點(diǎn)來(lái)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊,通過偽造

    2024年02月06日
    瀏覽(22)
  • IE瀏覽器攻擊:MS11-003_IE_CSS_IMPORT

    IE瀏覽器攻擊:MS11-003_IE_CSS_IMPORT

    目錄 概述 利用過程 漏洞復(fù)現(xiàn) 概述 MS11-003_IE_CSS_IMPORT是指Microsoft Security Bulletin MS11-003中的一個(gè)安全漏洞,影響Internet Explorer(IE)瀏覽器。這個(gè)漏洞允許攻擊者通過在CSS文件中使用@import規(guī)則來(lái)加載外部CSS文件,并且繞過瀏覽器的同源策略。攻擊者可以利用這個(gè)漏洞進(jìn)行跨站腳

    2024年02月10日
    瀏覽(19)
  • 瀏覽器安全級(jí)別怎么設(shè)置,設(shè)置瀏覽器安全級(jí)別的方法

    瀏覽器安全級(jí)別怎么設(shè)置,設(shè)置瀏覽器安全級(jí)別的方法

    瀏覽器作為重要的上網(wǎng)入口,發(fā)揮著重要作用。瀏覽器的功能不只是用看網(wǎng)頁(yè)看視頻,現(xiàn)在已經(jīng)發(fā)展成為提供全方位服務(wù)的綜合工具。正是這個(gè)原因,瀏覽器的安全性受到了挑戰(zhàn),要想瀏覽器安全瀏覽得到保障,就要設(shè)置瀏覽器的安全級(jí)別,那么怎么設(shè)置呢?本文將分享瀏覽

    2024年02月07日
    瀏覽(19)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包