1、CSRF:跨站请求伪造,cross-site request forgery 2、CSRF攻击原理: (1)用户登录网站A (2)网站A下发cookie (3)用户访问网站B (4)网站B中有引诱点击,指向网站A中有漏洞的接口 (5)点击之后,浏览器上传cookie至网站A 必要条件:1、用户要 ...
分类:
其他好文 时间:
2018-09-25 01:25:53
阅读次数:
133
csrf攻击,即cross site request forgery跨站(域名)请求伪造,这里的forgery就是伪造的意思。网上有很多关于csrf的介绍,比如一位前辈的文章浅谈CSRF攻击方式,参考这篇文章简单解释下:csrf 攻击能够实现依赖于这样一个简单的事实:我们在用浏览器浏览网页时通常会打 ...
分类:
其他好文 时间:
2018-09-18 00:26:18
阅读次数:
198
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗 ...
分类:
其他好文 时间:
2018-08-22 17:08:01
阅读次数:
117
原理 csrf(Cross Site Request Forgery, 跨站域请求伪造:CSRF 攻击允许恶意用户在另一个用户不知情或者未同意的情况下,以他的身份执 行操作。 CSRF 攻击是黑客借助受害者的 cookie 骗取服务器的信任,但是黑客并不能拿到 cookie,也看不到 cookie ...
分类:
其他好文 时间:
2018-08-12 23:36:38
阅读次数:
173
网站安全的基础有三块: (1) 防范中间人攻击 (TLS mim, man in the middle) 当主机A、和机B通信时,都由主机C来为其“转发”,而A、B之间并没有真正意思上的直接通信,他们之间的信息传递同C作为中介来完成,但是A、B却不会意识到,而以为它们之间是在直接通信。这样攻击主机在 ...
分类:
其他好文 时间:
2018-08-04 11:44:05
阅读次数:
188
1.防止CSRF攻击 在django中要求前端要有token验证才能提交post请求。所以要在前端html的form表单中添加 {% csrf_token %}: ...
分类:
其他好文 时间:
2018-08-04 00:07:56
阅读次数:
127
Web 安全概念 Web 应用中存在很多安全风险,这些风险会被黑客利用,轻则篡改网页内容,重则窃取网站内部数据,更为严重的则是在网页中植入恶意代码,使得用户受到侵害。常见的安全漏洞如下: XSS 攻击:对 Web 页面注入脚本,使用 JavaScript 窃取用户信息,诱导用户操作。 CSRF 攻击 ...
分类:
Web程序 时间:
2018-07-27 19:29:32
阅读次数:
215
本章首先介绍了一些常见的Web攻击手段。 1.XSS攻击(Cross Sites Scripting),指跨站脚本攻击。攻击者在网页中嵌入恶意脚本程序,当用户打开该网页,恶意程序在浏览器执行,会盗取用户名密码,cookie,下载执行病毒木马程序,甚至是获取客户端admin权限等。 2.CSRF攻击( ...
分类:
其他好文 时间:
2018-07-25 18:18:56
阅读次数:
169
可能我们大多数人做web的时候不会太注意这个问题,但是这是一个很重要的一个点。我们写代码写业务的时候也应该从各方面多思考。 首先就是先简单介绍下什么是CSRF CSRF 全程是 Cross-site request forgery 中文意思就是跨站请求伪造。和跨站脚本XSS不同,XSS的特点是利用站 ...
分类:
Web程序 时间:
2018-07-13 22:20:49
阅读次数:
224
JSON HiJacking攻击: JSON劫持类似于CSRF攻击,为了了解这种攻击方式,我们先看一下Web开发中一种常用的跨域获取数据的方式:JSONP。 先说一下JSON吧,JSON是一种数据格式,主要由字典(键值对)和列表两种存在形式,并且这两种形式也可以互相嵌套,非常多的应用于数据传输的过程 ...
分类:
Web程序 时间:
2018-07-13 20:18:52
阅读次数:
1608
