网络安全实训Day22

网络空间安全实训-渗透测试

CSRF

  • 定义:跨站伪造请求攻击

    • 攻击者透过诱骗受害者点击攻击者提前构造的恶意链接,从而以受害者的身份向网站服务器发起请求,达到攻击的目的
复制代码
### 通过CSRF在网站后台创建管理员

* 1.搭建创建管理员账号的站点

  * 1.将对方网站创建管理员账户的源代码复制并修改后,创建本机的页面

  * 2.创建另一个页面,用iframe包含恶意界面,并将iframe设置为不可见,达到隐蔽效果

* 2.将构建好的页面地址发送给网站管理员访问
复制代码
### 防御方法及绕过

* 1.检查用户提交的Refer

  * 绕过:在攻击机本地创建站点,本机页面的名字包含合法Referer,在本机页面中通过iframe嵌入攻击页面地址

* 2.通过随机token进行验证

Web爆破

复制代码
### HTTP工作流程

* 1.客户端向DNS服务器发送域名查询请求,DNS服务器返回网站的IP地址给客户端

* 2.客户端与Web服务器通过三次握手建立TCP连接

* 3.客户端向服务器发送GET请求

  * Host

    * 客户端希望访问的站点URL

  * User-Agent

    * 客户端的操作系统和浏览器

  * Referer

    * 描述是从哪个页面请求的该站点

  * Cookie

    * Web服务器用于识别身份的字符串

* 4.服务器向客户端发送相应

  *

    #### 响应状态码

    * 1xx

      * 正在处理请求

    * 2xx

      * 请求成功

      * 200:ok

    * 3xx

      * 重定向

      * 302:临时重定向

      * 307:永久重定向

    * 4xx

      * 客户端错误

      * 404:页面未找到

      * 403:无权限访问

      * 子主题 4

    * 5xx

      * 服务器错误

      * 500:服务器内部错误

  * Server

    * 服务器的Web应用版本

* 5.服务器将页面内容发送给客户端

* 6.服务器与客户端通过四次挥手结束TCP连接
复制代码
### Web爆破的防御及绕过

* 图形验证码

* 设置登录错误达到指定次数后锁定账户

* 短信验证码

* 设置一个更复杂的密码

* 不同地方的账户设置不同的密码

* 定期更换密码
相关推荐
wqfhenanxc7 分钟前
Mixing C++ and Rust for Fun and Profit 阅读笔记
c++·笔记·rust
豆沙沙包?1 小时前
8.学习笔记-Maven进阶(P82-P89)
笔记·学习·maven
不爱学英文的码字机器5 小时前
零信任架构:重塑网络安全的IT新范式
安全·web安全·架构
刘婉晴8 小时前
【信息安全工程师备考笔记】第三章 密码学基本理论
笔记·安全·密码学
晓数10 小时前
【硬核干货】JetBrains AI Assistant 干货笔记
人工智能·笔记·jetbrains·ai assistant
我的golang之路果然有问题10 小时前
速成GO访问sql,个人笔记
经验分享·笔记·后端·sql·golang·go·database
lwewan10 小时前
26考研——存储系统(3)
c语言·笔记·考研
星哥说事10 小时前
使用开源免费雷池WAF防火墙,接入保护你的网站
web安全·开源
浩浩测试一下11 小时前
计算机网络中的DHCP是什么呀? 详情解答
android·网络·计算机网络·安全·web安全·网络安全·安全架构
搞机小能手11 小时前
六个能够白嫖学习资料的网站
笔记·学习·分类