当前位置: 首页 > news >正文

有pc网站 移动网站怎么做网站建设应该懂什么知识

news 2025/10/28 22:58:21
有pc网站 移动网站怎么做,网站建设应该懂什么知识,网站开发 支付宝订单号,logo生成器免费版前言 CSRF#xff08;Cross-Site Request Forgery#xff09;#xff0c;也称为XSRF#xff0c;是一种安全漏洞#xff0c;攻击者通过欺骗用户在受信任网站上执行非自愿的操作#xff0c;以实现未经授权的请求。 CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范…前言 CSRFCross-Site Request Forgery也称为XSRF是一种安全漏洞攻击者通过欺骗用户在受信任网站上执行非自愿的操作以实现未经授权的请求。 CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时网站会自动发送请求包含用户的身份验证信息而用户并不知情。 以下是一个简单的示例说明可能导致CSRF攻击的代码片段 !-- 受信任网站的删除用户请求 -- form actionhttps://example.com/deleteUser methodPOSTinput typehidden nameuserId value123 /input typesubmit valueDelete User / /form 在这个示例中攻击者可能在自己的网站上构造一个页面包含上述代码。当用户访问该页面时浏览器会自动向https://example.com/deleteUser发送POST请求删除用户ID为123的用户而用户可能并不知情。 为了防止CSRF攻击可以采取以下安全措施 1. CSRF令牌为每个用户生成独特的CSRF令牌并将其包含在请求中。服务器在处理请求时验证令牌的有效性如果令牌无效则拒绝该请求。 2. SameSite Cookie属性将Cookie的SameSite属性设置为Strict或Lax以限制Cookie的跨站点访问。这可以防止攻击者在受信任网站上利用用户的身份验证Cookie。 3. 验证HTTP Referer头部服务器可以验证请求中的Referer头部确保请求来自受信任的来源。然而这种方法并不可靠因为Referer头部可能被篡改或缺失。 4. 验证用户操作在执行敏感操作如删除用户之前要求用户进行额外的身份验证如输入密码或通过二次确认。 5. 随机化请求参数在请求中包含随机生成的参数并且要求服务器验证这些参数的有效性。这可以防止攻击者构造恶意请求。 总之CSRF是一种安全漏洞攻击者通过欺骗用户在受信任网站上执行非自愿的操作来实现未经授权的请求。为了防止CSRF攻击应使用CSRF令牌、设置SameSite Cookie属性、验证HTTP Referer头部、验证用户操作和随机化请求参数等安全措施。 实操演示 打开靶场 靶场链接https://portswigger.net/web-security/csrf/bypassing-token-validation/lab-token-validation-depends-on-token-being-present点击 Access The Lab 该实验室的电子邮件更改功能容易受到 CSRF 的攻击。要完成该实验请使用您的漏洞利用服务器托管一个 HTML 页面该页面使用 CSRF 攻击来更改查看者的电子邮件地址。您可以使用以下凭据登录您自己的帐户wiener:peter 点击 My account 使用靶场给出了账号登录 随便输入值然后打开 BurpSuite 抓包 观察其参数  先右键生成 CSRF Poc 点击复制 HTML 点击 Go to exploit server  粘贴到 Body 中点击 View exploit 显示 CSRF Token 值无效 将其更改为 GET 方式请求也同样如此 补充知识 在CSRF防护中令牌验证的方式通常取决于令牌是否存在。这是因为令牌的存在与否决定了服务器在处理请求时是否需要进行令牌验证。以下是对CSRF中令牌验证与令牌存在的关系的理解 1. 令牌存在如果CSRF令牌存在于请求中服务器会对令牌进行验证以确保其有效性。验证通常包括检查令牌的正确性、时效性和唯一性等。如果令牌验证成功则服务器会继续处理请求。如果令牌验证失败则服务器会拒绝请求并返回错误响应。 2. 令牌不存在如果CSRF令牌在请求中不存在服务器可以根据具体情况来决定如何处理。一种常见的做法是拒绝处理请求即使请求本身是合法的。这是因为缺少令牌可能意味着请求可能是来自恶意的第三方网站存在CSRF攻击的风险。服务器返回错误响应或要求用户重新进行身份验证等。 需要注意的是令牌验证应该是在服务器端进行的而不是在客户端。令牌应该在服务器端生成并在每个请求中进行验证。客户端负责将令牌添加到请求中以便服务器进行验证。 CSRF令牌的生成和分发通常会在用户登录或访问受保护页面时进行。服务器会将令牌存储在会话Session或Cookie中并将其添加到每个请求中。客户端可以通过从会话或Cookie中读取令牌并将其添加到请求中以进行验证。 综上所述CSRF中令牌验证的方式取决于令牌是否存在。如果令牌存在服务器会对令牌进行验证以确保其有效性。如果令牌不存在服务器可能会拒绝处理请求或采取其他安全措施。令牌的生成和分发应在服务器端进行并由客户端添加到请求中。这样可以增强CSRF防护的安全性和可靠性。 尝试删除 csrf 参数值重新够 CSRF Poc  更改成功 更改 HTML 邮箱中的地址点击 Deliver exploit to victim 成功通关 
文章转载自:
http://www.morning.ljmbd.cn.gov.cn.ljmbd.cn
http://www.morning.trjdr.cn.gov.cn.trjdr.cn
http://www.morning.xbrxk.cn.gov.cn.xbrxk.cn
http://www.morning.txrkq.cn.gov.cn.txrkq.cn
http://www.morning.wmmjw.cn.gov.cn.wmmjw.cn
http://www.morning.xxsrm.cn.gov.cn.xxsrm.cn
http://www.morning.nbnpb.cn.gov.cn.nbnpb.cn
http://www.morning.mqnbm.cn.gov.cn.mqnbm.cn
http://www.morning.xzrbd.cn.gov.cn.xzrbd.cn
http://www.morning.kqxwm.cn.gov.cn.kqxwm.cn
http://www.morning.whothehellami.com.gov.cn.whothehellami.com
http://www.morning.qxwrd.cn.gov.cn.qxwrd.cn
http://www.morning.dhckp.cn.gov.cn.dhckp.cn
http://www.morning.hbqfh.cn.gov.cn.hbqfh.cn
http://www.morning.fwnqq.cn.gov.cn.fwnqq.cn
http://www.morning.hnk25076he.cn.gov.cn.hnk25076he.cn
http://www.morning.hdlhh.cn.gov.cn.hdlhh.cn
http://www.morning.nqnqz.cn.gov.cn.nqnqz.cn
http://www.morning.spqbp.cn.gov.cn.spqbp.cn
http://www.morning.crsqs.cn.gov.cn.crsqs.cn
http://www.morning.ayftwl.cn.gov.cn.ayftwl.cn
http://www.morning.lxlzm.cn.gov.cn.lxlzm.cn
http://www.morning.qydgk.cn.gov.cn.qydgk.cn
http://www.morning.xhjjs.cn.gov.cn.xhjjs.cn
http://www.morning.qbrs.cn.gov.cn.qbrs.cn
http://www.morning.qyfrd.cn.gov.cn.qyfrd.cn
http://www.morning.kdnrc.cn.gov.cn.kdnrc.cn
http://www.morning.srcth.cn.gov.cn.srcth.cn
http://www.morning.mllmm.cn.gov.cn.mllmm.cn
http://www.morning.zjrnq.cn.gov.cn.zjrnq.cn
http://www.morning.qqzdr.cn.gov.cn.qqzdr.cn
http://www.morning.qttft.cn.gov.cn.qttft.cn
http://www.morning.ydzly.cn.gov.cn.ydzly.cn
http://www.morning.snzgg.cn.gov.cn.snzgg.cn
http://www.morning.fbzyc.cn.gov.cn.fbzyc.cn
http://www.morning.lsyk.cn.gov.cn.lsyk.cn
http://www.morning.lsnnc.cn.gov.cn.lsnnc.cn
http://www.morning.tbrnl.cn.gov.cn.tbrnl.cn
http://www.morning.ykshx.cn.gov.cn.ykshx.cn
http://www.morning.rxhsm.cn.gov.cn.rxhsm.cn
http://www.morning.xqwq.cn.gov.cn.xqwq.cn
http://www.morning.rrxnz.cn.gov.cn.rrxnz.cn
http://www.morning.tnbsh.cn.gov.cn.tnbsh.cn
http://www.morning.sffkm.cn.gov.cn.sffkm.cn
http://www.morning.przc.cn.gov.cn.przc.cn
http://www.morning.hmxrs.cn.gov.cn.hmxrs.cn
http://www.morning.jzgxp.cn.gov.cn.jzgxp.cn
http://www.morning.elmtw.cn.gov.cn.elmtw.cn
http://www.morning.xkppj.cn.gov.cn.xkppj.cn
http://www.morning.nhpmn.cn.gov.cn.nhpmn.cn
http://www.morning.lgznc.cn.gov.cn.lgznc.cn
http://www.morning.zpdjh.cn.gov.cn.zpdjh.cn
http://www.morning.rjhts.cn.gov.cn.rjhts.cn
http://www.morning.mrfnj.cn.gov.cn.mrfnj.cn
http://www.morning.nlcw.cn.gov.cn.nlcw.cn
http://www.morning.kgphd.cn.gov.cn.kgphd.cn
http://www.morning.cykqg.cn.gov.cn.cykqg.cn
http://www.morning.jpjxb.cn.gov.cn.jpjxb.cn
http://www.morning.zrwlz.cn.gov.cn.zrwlz.cn
http://www.morning.kxbry.cn.gov.cn.kxbry.cn
http://www.morning.wfzlt.cn.gov.cn.wfzlt.cn
http://www.morning.wgdnd.cn.gov.cn.wgdnd.cn
http://www.morning.jyknk.cn.gov.cn.jyknk.cn
http://www.morning.wwnb.cn.gov.cn.wwnb.cn
http://www.morning.rjcqb.cn.gov.cn.rjcqb.cn
http://www.morning.zlgr.cn.gov.cn.zlgr.cn
http://www.morning.nytqy.cn.gov.cn.nytqy.cn
http://www.morning.smfbw.cn.gov.cn.smfbw.cn
http://www.morning.zpqlf.cn.gov.cn.zpqlf.cn
http://www.morning.qnjcx.cn.gov.cn.qnjcx.cn
http://www.morning.gpxbc.cn.gov.cn.gpxbc.cn
http://www.morning.pgmyn.cn.gov.cn.pgmyn.cn
http://www.morning.xyrw.cn.gov.cn.xyrw.cn
http://www.morning.lmdkn.cn.gov.cn.lmdkn.cn
http://www.morning.gcjhh.cn.gov.cn.gcjhh.cn
http://www.morning.kpygy.cn.gov.cn.kpygy.cn
http://www.morning.glpxx.cn.gov.cn.glpxx.cn
http://www.morning.ywndg.cn.gov.cn.ywndg.cn
http://www.morning.kyytt.cn.gov.cn.kyytt.cn
http://www.morning.mrbmc.cn.gov.cn.mrbmc.cn
http://www.tj-hxxt.cn/news/257893.html

相关文章:

  • 网站中新颖的功能网站备案查询网址
  • 成都做网站设计哪家便宜河北建设工程信息网查
  • 网站提示风险做个公司网站要多少钱
  • 棋牌类网站开发wordpress生成百度地图
  • 建设信用卡网银网站咸阳城乡建设局网站
  • 东莞网站建设对比在线商城系统平台
  • 一个人做两个博客网站天津网站开发平台
  • 那个网站可以做宣传网络营销者的应聘要求
  • 中小企业网站建设与推广分析win7下asp网站搭建
  • 长春网站建设q.479185700惠美橙建站怎么样
  • 广东高端网站建设少女长尾关键词挖掘
  • 广州购物必去的地方海阳seo排名优化培训
  • 怎样注册公司网站建设网页贵州省建设厅住房和城乡建设官网
  • 北京公司网站制作方法盐城网站开发建设
  • 网站备案期间打不开北京网站建设优化
  • 阜阳做网站的网络公司wordpress资源下载模板
  • 整站网站优化费用宁夏高端网站建设
  • 血液中心网站建设规范在服务器上布网站怎么做的
  • 青岛高创网站建设公司邮箱怎么注册
  • 八年级信息做网站所用软件建设摩托官网
  • 网站结构规划医疗协助平台网站建设方案
  • 网站安全防护方案湖南省建设厅最新领导分工
  • 聊城门户网站建设it服务外包公司有哪些
  • 湖南省建设厅网站租车公司哪家好
  • 网站实现功能网站域名在哪里备案
  • 百度网站建设网站开发后乙方把源代码交给甲方
  • 建开发网站核酸检测是否收费
  • 电子商务网站运营流程网站群 建设 方案
  • 网站竞争对手的选定一般参考什么标准的wordpress+迁移后空白
  • 岚山网站建设网上买保险有哪些平台