- 1Flutter使用Texture在安卓端实现Camera预览_flutter camera 预览区
- 2Hadoop-熟悉常用的HDFS操作_hadoop的常用命令实验报告
- 3进阶数据库系列(十六):PostgreSQL 数据库高可用方案_postgresql高可用构架
- 4Element drawer无法上下滚动_arco design drawer弹出其他区域无法滚动
- 5全网最详细的Flutter开发入门基础教程,Flutter跨平台终极之选
- 6在linux下编译安装xvid
- 7动态规划的思想_大事化小小事化了体现出的问题求解思想是
- 8一份面经让你面试成功率加80%,985大佬分享自己的字节三面面经!_字节一面和二面通过率
- 9【python游戏】努力制造阳光,让植物有力量对抗僵尸吧~_pycharm植物大战僵尸
- 10面试官喜欢与岗位匹配度较高的求职者,怎么准备?_面试官问你岗位的匹配度
CSRF的攻击与法防御_csrf攻击
赞
踩
一、CSRF漏洞原理* *
CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。
具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
二、CSRF场景
修改个人数据(横向越权)
添加用户(纵向越权)等
三、CSRF常出现业务
CSRF一般用于操作用户的资源,或者使用用户的权限进行操作,或者窃取用户的相关信息。
可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。
四、CSRF比XSS更具危险性?
CSRF不一定比XSS更有危险性。CSRF能完成的事,XSS更能够完成;XSS能完成的事,CSRF不一定能做到。
五、CSRF的最佳利用方式
CSRF给电商用户新增默认收货地址、发微博、添加管理员等到,所有的敏感操作都可以是CSRF的攻击目标,也就是说,所有敏感操作都需要进行CSRF的防护
* *
六、CSRF的防护方案
CSRF的防护,主要是referer限制,token、或验证码。甚至非常敏感的操作更应该要使用短信验证这种方式,另外,防护手段可以加上一条:多使用post方式获取参数,进行敏感功能。如果你的请求仅仅是ajax请求,那么还有些别的防护手段。比如校验X-Requested-With头。跨域的form表单提交是伪造不了这个ajax请求头。甚至你可以在ajax中
安全需要打组合拳,各个部分都需要兼顾到,比如严格的日志系统,这个在企业防护CSRF中,算是事后防护了,能甄别一定的CSRF攻击。
七、CSRF漏洞自动化探测
1、手动探测原理
手动探测原理在于探测web应用程序具有防止CSRF的措施。
如果Web应用程序的HTTP请求中没有对应的预防措施,那么很大程度上就确定存在CSRF漏洞。
2、自动化探测工具介绍
CSRFTester是一款CSRF漏洞的测试工具。
CSRFTester工具的测试原理大概是这样的,使用代理抓取我们在浏览器中访问过的所有的连接以及所有的表单等信息,通过在CSRFTester中修改相应的表单等信息,重新提交,相当于一次伪造客户端请求,如果修测试的请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。
-
设置浏览器代理:127.0.0.1:8008
-
登录Web应用程序,提交表单,在CSRF工具中修改表单内容,查看是否更改,如果更改表面存在CSRF漏洞。
-
生产POC代码。
网络安全入门学习路线
其实入门网络安全要学的东西不算多,也就是网络基础+操作系统+中间件+数据库,四个流程下来就差不多了。
1.网络安全法和了解电脑基础
其中包括操作系统Windows基础和Linux基础,标记语言HTML基础和代码JS基础,以及网络基础、数据库基础和虚拟机使用等...
别被这些看上去很多的东西给吓到了,其实都是很简单的基础知识,同学们看完基本上都能掌握。计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。 
当然你也可以看下面这个视频教程仅展示部分截图: 
学到http和https抓包后能读懂它在说什么就行。
2.网络基础和编程语言
3.入手Web安全
web是对外开放的,自然成了的重点关照对象,有事没事就来入侵一波,你说不管能行吗! 
想学好Web安全,咱首先得先弄清web是怎么搭建的,知道它的构造才能精准打击。所以web前端和web后端的知识多少要了解点,然后再学点python,起码得看懂部分代码吧。
最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。
等你用几周的时间学完这些,基本上算是具备了入门合格渗透工程师的资格,记得上述的重点要重点关注哦! 
再就是,要正式进入web安全领域,得学会web渗透,OWASP TOP 10等常见Web漏洞原理与利用方式需要掌握,像SQL注入/XSS跨站脚本攻击/Webshell木马编写/命令执行等。
这个过程并不枯燥,一边打怪刷级一边成长岂不美哉,每个攻击手段都能让你玩得不亦乐乎,而且总有更猥琐的方法等着你去实践。
学完web渗透还不算完,还得掌握相关系统层面漏洞,像ms17-010永恒之蓝等各种微软ms漏洞,所以要学习后渗透。可能到这里大家已经不知所云了,不过不要紧,等你学会了web渗透再来看会发现很简单。
其实学会了这几步,你就正式从新手小白晋升为入门学员了,真的不算难,你上你也行。
4.安全体系
不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。
所以想要成为一名合格的网络工程师,想要拿到安全公司的offer,还得再掌握更多的网络安全知识,能力再更上一层楼才行。即便以后进入企业,也需要学习很多新知识,不充实自己的技能就会被淘汰。
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
尾言
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,最后联合CSDN整理了一套【282G】网络安全从入门到精通资料包,需要的小伙伴可以点击链接领取哦! 网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
