csrf

SJLoveIT5 天前
前端·安全·csrf
【安全研发】CSRF (跨站请求伪造) 深度复盘与防御体系记录时间: 2026-01-21 核心逻辑: 盗用身份。黑客拿不到我的 Cookie,但他能利用浏览器的自动机制,“借刀杀人”操作我的账户。
PyHaVolask12 天前
android·前端·csrf
CSRF跨站请求伪造CSRF工作流程:后端代码:漏洞点:恶意页面代码:攻击流程:自动化攻击:金融系统攻击:社交网络攻击:电商平台攻击:
QuantumRedGuestk13 天前
网络安全·漏洞分析·csrf·dedecms
DEDECMS靶场CSRF漏洞分析与安全防护在一次授权靶场渗透测试中,我们对某 DEDECMS 靶场系统进行安全评估。发现前台存在“申请友情链接”功能,提交后链接会进入后台管理员审核队列。
bl4ckpe4ch20 天前
前端·web安全·网络安全·csrf·cors
用可复现实验直观理解 CORS 与 CSRF 的区别与联系一句话总结:CORS 决定了你的脚本能不能“看”到响应,而 CSRF 利用了浏览器自动“带”凭证的特性去“做”坏事。
合天网安实验室20 天前
web安全·csrf·漏洞实战·html注入
从HTML注入到CSRF:一次漏洞组合拳实战免责声明:本文仅供安全学习研究,所有测试均在授权环境或自建靶场中进行。严禁用于非法用途,否则后果自负。
未知鱼21 天前
前端·安全·web安全·网络安全·系统安全·xss·csrf
XSS、CSRF、SSRF攻击原理与防护全解析类型持久性数据存储位置影响范围典型案例反射型XSS非持续URL参数单个用户恶意链接传播存储型XSS持续
w_t_y_y22 天前
网络协议·http·csrf
http通信鉴权(三)基于 Session + CSRF Token 的 Cookie 认证这也是一个非常典型的 Web 会话认证方式,不是 OAuth,也不是 JWT,而是: 基于 Session + CSRF Token 的 Cookie 认证(Spring / Java 系生态最常见)
IT 行者22 天前
安全·spring·spring security·csrf
Spring Security 6.x CSRF Token增强:从XorCsrfTokenRequestAttributeHandler到安全实践随着Web应用安全威胁的不断演进,CSRF(Cross-Site Request Forgery)防护机制也在持续改进。Spring Security 6.x版本在CSRF Token处理方面引入了重要的安全性增强,其中最值得关注的是XorCsrfTokenRequestAttributeHandler的引入和改进。本文将深入探讨这一安全机制的原理、实现以及在实际应用中的最佳实践。
Psycho_MrZhang1 个月前
sql·web安全·csrf
Web安全之SQL注入-CSRF-XSS聚焦三大高危漏洞:SQL 注入、CSRF、XSS攻击者通过在用户输入中嵌入恶意 SQL 片段,绕过应用逻辑,直接操作数据库。 示例(危险代码):
小阿宁的猫猫1 个月前
安全·http·xss·csrf
CSRF漏洞的原理、防御和比赛中的运用跨站请求伪造受害者登录到受信任的网站A(进行了身份验证并获取了会话 cookie),攻击者引导受害者访问恶意网站B(该网站是攻击者创建的一个恶意网站或在受害者访问的第三方网站上植入了恶意代码),然后恶意网站B发送请求到受信任的网站A(这是一个自动提交的请求,是去登录网站A的,可以是post,里面会有一些操作请求),因为用户已经登录了网站A,浏览器会自动附上相关的会话 cookie。网站A接收请求之后,认为是合法用户发出的,网站A在未验证请求来源的情况下执行了请求中的操作(请求中的操作不需要验证)。
Neolnfra1 个月前
网络·安全·web安全·网络安全·系统安全·密码学·csrf
陇剑杯2021-wifi题目解析下载后得到三个文件:客户端.pcap、服务端.pcap、memdump.mem。首先点击进入 客户端.pcap 查看。
Neolnfra1 个月前
服务器·网络·系统安全·网络攻击模型·安全威胁分析·csrf·安全架构
跨站请求伪造攻击(CSRF)解析CSRF (Cross-Site Request Forgery),即跨站请求伪造,是一种常见的、具有欺骗性的 Web 安全漏洞。它允许攻击者诱导一个已通过身份验证(例如已登录)的用户,在用户毫不知情的情况下,向其当前已认证的受信任网站发送一个恶意的、非预期的请求。
petunsecn1 个月前
csrf
CSRF防护模式选择指南:三种方案的对比与决策安全Top10 https://cheatsheetseries.owasp.org/IndexTopTen.html
-曾牛2 个月前
前端·网络·web安全·网络安全·渗透测试·csrf·原理解析
CSRF跨站请求伪造:原理、利用与防御全解析在Web安全领域,身份认证与权限控制是保障用户数据安全的核心防线,但跨站请求伪造(CSRF)漏洞却能巧妙绕过这道防线,以“借刀杀人”的方式实现恶意攻击。与XSS漏洞通过注入恶意脚本窃取数据不同,CSRF的核心目标是“伪造合法请求”——攻击者无需获取用户的Cookie等敏感信息,只需诱导已登录的用户触发预设的恶意请求,即可冒用其身份执行非本意的操作(如修改密码、转账、篡改数据等)。
张3蜂2 个月前
前端·安全·csrf
CSRF Token:网络应用安全的关键防线——深度解析与实战指南目录什么是CSRF Token?一、CSRF攻击原理:为什么需要Token?1.1 CSRF攻击示例1.2 攻击成功条件
张3蜂2 个月前
网络·安全·csrf
跨站请求伪造(CSRF):原理、攻击与防御全解析目录引言:为何登录银行后浏览一个论坛可能让资金被盗?第一章:CSRF的本质与核心概念什么是CSRF?核心特征:
重生之我在番茄自学网安拯救世界2 个月前
笔记·学习·网络安全·csrf·跨站请求伪造
网络安全中级阶段学习笔记(五):CSRF跨站请求伪造学习笔记(超全总结)目录一、前置基础:Cookie、Session与同源策略1. 核心概念速查表2. 同源策略详解二、CSRF核心原理
世界尽头与你2 个月前
web安全·网络安全·渗透测试·csrf
跨站请求伪造(CSRF)漏洞CSRF攻击的核心是利用用户在当前网站(如银行、邮箱、社交网络)的登录状态。浏览器会自动携带用户的Cookie等认证信息发送请求,而攻击者通过构造一个恶意链接或页面,诱骗已经登录的用户去点击或访问,从而让用户的浏览器在用户不知情的情况下向目标网站发送一个请求。对于服务器来说,这个请求看起来就是用户自己发出的合法请求。
老马爱知2 个月前
web安全·xss·csrf·零信任·ssrf·信任边界·攻防启示录
第5篇 | Web应用的“外邪”:XSS、CSRF与SSRF漏洞详解《网络安全的攻防启示录》· 第一篇章:破壁之术 · 第5篇如果说SQL注入是“骗过系统”,那么Web应用的“外邪”就是“骗过用户”,或者“骗过服务器”。