记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

手把手教你CSRF防护

阅读: 0CSRF(Cross-site request forgecy):跨站请求伪造,是一种常见的网络攻击方式。究竟什么是CSRF以及如何防御呢?文章目录CSRF原理CRRF防御Django的解决之道POST提交form表单Ajax提交POST请求其它模板引擎(与jinja2结合)CSRF原理CSRF攻击流程如下图所示:简而言之,就是攻击者盗用了你的合法身份,并以你的名义发送恶意请求,比如:以你的名义发送邮件和消息,用你的钱买东西,把你的钱从账户转出……后果不堪设想。CRRF防御CSRF的防御方式大概有如下几种:通过 referer、token 或者 验证码 来检测用户提交。尽量不要在页面的链接中暴露用户隐私信息。对于用户修改删除等操作最好都使用post 操作 。避免全站通用的cookie,严格设置cook
发布时间:2017-07-05 17:35 | 阅读:149918 | 评论:0 | 标签:安全分享 技术前沿 CSRF CSRF的防御 跨站攻击 跨站请求伪造

从黑客角度深入剖析跨站请求伪造

在对Web应用程序进行测试的过程中,我们使用的自动化工具有时候会漏掉一些非常严重的安全漏洞。跨站请求伪造便是其中之一。因此,对于Web应用测试来说,通过人工方式分析代码是非常重要的一种测试手段。在近期的Web应用测试过程中,我利用手工方式发现了若干个CSRF漏洞,如果将其串联使用,就能演变成更加严重的安全漏洞。下面,本文将详细介绍这些漏洞的发现过程,并演示如何利用它们来控制受害者的账户。需要注意的是,为了保护客户信息,部分内容已经做了模糊处理。0×01 艰难的发现之旅为了展开跨站请求伪造攻击,首先要进行一些侦查工作。为此,我根据客户提供的低权限账户登录了需要测试的Web应用。在这个网站上,大部分页面都要求预先知道帐户名、产品序列号等信息。由于我对这些一无所知,所以只好转而考察账户
发布时间:2015-09-15 09:10 | 阅读:63519 | 评论:0 | 标签:漏洞 网络安全 跨站请求伪造 跨站

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云