1、CSRF攻击: CSRF(Cross-site request forgery):跨站请求伪造。 (1)、攻击原理: 如上图,在B网站引诱用户访问A网站(用户之前登录过A网站,浏览器 cookie 缓存了身份验证信息), 通过调用A网站的接口攻击A网站。 (2)、防御措施: 1)token验证: ...
分类:
Web程序 时间:
2020-02-14 01:01:21
阅读次数:
100
在前台表单中使用@Html.AntiForgeryToken(),在后台action上添加ValidateAntiForgeryToken特性 @using (Html.BeginForm()) { @Html.AntiForgeryToken() <p> <label> Username:</la ...
分类:
其他好文 时间:
2020-02-07 17:09:54
阅读次数:
51
CSRF Cross Site Request Forgy 跨站请求伪造 需要条件 用户登录 A 网站 A 网站确认身份 B 网站页面向 A 网站发起请求(带 A 网站身份) CRSF 攻击危害 利用用户登录态 盗取用户资金(转账,消费) 用户不知情 冒充用户发帖背锅 完成业务请求 损坏网站名誉 . ...
分类:
其他好文 时间:
2020-01-30 21:19:11
阅读次数:
108
错误的CSRF防御方法 (1)只接受 POST 请求 攻击者不能基于链接简单地攻击( IMG ),但是可以使用脚本创建隐藏的 POST 请求 (2)转账需要多步 e.g. 第一个请求转多少个coin,第二个请求转给谁 CSRF 攻击可以按顺序执行每个步骤 (3)检查 Referer Referer ...
分类:
Web程序 时间:
2020-01-27 12:18:00
阅读次数:
93
何时使用CSRF保护 什么时候应该使用CSRF保护?我们的建议是使用CSRF保护,可以通过浏览器处理普通用户的任何请求。如果你只是创建一个非浏览器客户端使用的服务,你可能会想要禁用CSRF保护。(即所有处理来自浏览器的请求需要是CSRF保护,如果后台服务是提供API调用那么可能就要禁用CSRF保护) ...
分类:
编程语言 时间:
2020-01-15 13:31:35
阅读次数:
86
一、csrf攻击 1.1 csrf攻击(跨站请求伪造) 【csrf攻击即】:通过第3方网站,伪造请求(前提条件是你已经登录正常网站,并保存了session或cookie登录信息且没有退出),第三方网站即可通过你的session或cookie直接修改正常网站的用户名密码。 1. 首先做一个登录页,让用 ...
分类:
Web程序 时间:
2020-01-13 13:04:55
阅读次数:
133
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗 ...
分类:
其他好文 时间:
2020-01-09 13:33:04
阅读次数:
80
面试题:你所了解的web攻击? 1、xss攻击 2、CSRF攻击 3、网络劫持攻击 4、控制台注入代码 5、钓鱼 6、DDoS攻击 7、SQL注入攻击 8、点击劫持 一、xss攻击 XSS攻击:跨站脚本攻击(Cross Site Scripting),攻击目标是为了盗取存储在客户端的cookie或者 ...
分类:
Web程序 时间:
2020-01-03 21:29:24
阅读次数:
142
前言 最近在本地调试时,发现请求接口提示“未登录”,通过分析HTTP请求报文发现未携带登录状态的Cookie: PS:登录状态Cookie名是TEST 再进一步分析,发现Cookie的属性SameSite的值是Lax: 在web.config里设置sameSite="None"即可: <system ...
分类:
其他好文 时间:
2020-01-03 12:18:53
阅读次数:
102
静态文件夹配置 比如需要引入jquery、bootstrap等文件,需要配置静态文件,步骤如下: 步骤一、在目录下新建一个statics的文件夹 步骤二、在settings.py中按下图添加 步骤三、在html中引入 禁用csrf 但不建议禁用此选项,这是为了防止csrf攻击的。 ...
分类:
其他好文 时间:
2019-12-28 16:26:15
阅读次数:
79
