CSRF 1、什么是CSRF? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 2、原理 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步 ...
分类:
其他好文 时间:
2017-06-21 23:04:26
阅读次数:
285
环境: 后台使用的python - flask 前台使用angular框架 1.一个跨域post的样例: 跨域post有多种实现方式: 1.CORS:http://blog.csdn.net/hfahe/article/details/7730944 2.利用iframe 3.server prox ...
分类:
其他好文 时间:
2017-06-17 17:10:05
阅读次数:
1976
知识点:http请求是无状态的,也就是说每次http请求都是独立的无关之前的操作的,但是每次http请求都会将本域下的所有cookie作为http请求头的一部分发给服务器,所以服务器就根据请求中的cookie存放的sessionid去session对象中找到用户记录。 理解了以上,csrf攻击就是恶 ...
分类:
其他好文 时间:
2017-06-16 22:05:11
阅读次数:
115
在我最开始接触JavaEE时,我工作的第一个内容就是解决项目中存在的CSRF漏洞,当时的解决方法是在Referer添加token的方法。我对CSRF攻击的主要认知和解决的大部分思路都来自于这篇文章。 该篇文章引用来自:https://www.ibm.com/developerworks/cn/web ...
分类:
其他好文 时间:
2017-05-31 17:32:57
阅读次数:
246
前文 CSRF攻击和漏洞的参考文章: http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html Laravel默认是开启了CSRF功能,需要关闭此功能有两种方法: 方法一 打开文件:app\Http\Kernel.php 把这行注释掉: ...
分类:
Web程序 时间:
2017-05-26 15:53:51
阅读次数:
245
Token,就是令牌,最大的特点就是随机性。 Token一般用在两个地方: 1)防止表单重复提交、 2)anti csrf攻击(跨站点请求伪造)。 两者在原理上都是通过session token来实现的。 当客户端请求页面时,服务器会生成一个随机数Token,并且将Token放置到session当中 ...
分类:
其他好文 时间:
2017-05-22 11:56:54
阅读次数:
179
基础问题回答 SQL注入攻击原理,如何防御? XSS攻击的原理,如何防御? 一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤; 检查用户输入的内容中是否有非法内容,如尖括号、引号等,严格控制输出。 CSRF攻击原理,如何防御? 我们知道XSS是跨站脚本攻击,就是在用户的浏览器中执行攻击 ...
分类:
Web程序 时间:
2017-05-20 01:07:23
阅读次数:
323
20145306 网络攻防 web安全基础实践 实验内容 使用webgoat进行XSS攻击、CSRF攻击、SQL注入 XSS攻击:Stored XSS Attacks、Reflected XSS Attacks CSRF攻击:Cross SSite Request Forgery(CSRF)、CSR ...
分类:
Web程序 时间:
2017-05-14 13:40:37
阅读次数:
277
Exp9 web安全基础实践 实验后回答问题 (1)SQL注入攻击原理,如何防御(还不会做。。看的别人的感觉是这个意思) 攻击原理:修改信息 防御:禁止输入 (2)XSS攻击的原理,如何防御 攻击原理:看别人的博客,感觉就是强制访问。 防御:。。。。。不清楚 (3)CSRF攻击原理,如何防御 没做, ...
分类:
Web程序 时间:
2017-05-10 11:41:27
阅读次数:
198
1、简介CSRF的全名为Cross-siterequestforgery,它的中文名为跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对页面浏览器的信任,XSS则利用了系统对用户的信任。2、CSRF..
分类:
其他好文 时间:
2017-05-08 14:35:16
阅读次数:
151
