您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

CSRF和SSRF(Web漏洞及防御)

时间:2020-10-22 11:51:27  来源:  作者:
CSRF和SSRF(Web漏洞及防御)

 

CSRF

跨站请求伪造(Cross-Site Request Forgery)

CSRF经常配合XSS一起进行攻击!(同XSS类似,都属于跨站攻击,不攻击服务器端而攻击正常访问网站的用户!)

XSS利用站点内的信任用户,CSRF伪造成受信任用户!

CSRF和SSRF(Web漏洞及防御)

 

CSRF原理

攻击者伪造目标用户的身份,以目标用户的名义执行非法操作!

如:发送邮件、发送消息、盗取目标用户的账户进行购买,转账等威胁目标用户的财产安全!

注意:具体实例,请参考之前的文章!

CSRF的利用

之前文章的利用手段截图:

CSRF和SSRF(Web漏洞及防御)

 


CSRF和SSRF(Web漏洞及防御)

 

CSRF的防御

  1. 使用POST请求代替GET请求

CSRF一般触发的时候,都是通过用户点击链接,比如美女图片,吸引眼球的信息,这种请求方式都是GET请求,所以使用POST在一定程度上会避免通过GET方式请求CSRF!

  1. HTTP Referer

HTTP头信息中,包含Referer字段,记录了请求的来源地址(上一个访问地址),通过检查此字段,可以了解来源是站内还是外部的恶意连接!

  1. 验证码

每次请求,都需要填写验证码!(尽管也可以绕过验证码,今后讲解业务安全时,会提到如果绕过验证码漏洞!)

注意:验证码,用户体验不好!

  1. Token(请求令牌!)

CSRF之所以能成功的重要原因是:攻击者能够预知和伪造请求中的关键字段,因此,如果在请求中放入攻击者不能伪造的信息就能起到防范CSRF的作用!

在HTTP请求中以参数的形式加入一个随机产生的请求令牌(Token),并在服务器端进行验证。如果请求中没有Token或者Token内容不正确,则拒绝该请求!

Cookie Token:Token值放进Cookie中(所有表单都包含同一个伪随机值)

把Token放入HTTP头部自定义的属性中

一次性Token:每一个表单包含一个不同的伪随机值!

 


SSRF

SSRF:Server-Side Request Forgery(服务端请求伪造)

攻击者利用SSRF漏洞通过服务器端发起伪造请求!

一般情况下,SSRF攻击的目标是外网无法访问的内部系统!

(由于请求是服务器端发起的,所以服务器能请求到与自身相连而与外网隔绝的内网!)

SSRF漏洞形成原因

服务器提供了从其他服务器应用获取数据的功能,并且对目标地址没有做严格的过滤!

SSRF漏洞利用

  1. 通过服务器获取内网主机、本地端口扫描、获取一些服务的banner信息!
banner:会获取到一些敏感信息!
banner 信息中,可以获取到软件开发商、软件名称、服务类型、版本号等。
而版本号有时候就会存在公开的 CVE 问题,可以直接进行利用。
banner 信息获取的基础是在和目标建立链接后的,只有建立的链接,才可以获取到相应的 banner 信息,
当目标对 banner 信息进行隐藏或者配置了禁止读取时,这时的 banner 则获取不到!
  1. 对内网的应用程序进行攻击,如redis,JBoss等!
  2. 对内网的Web应用进行指纹识别,识别内部的资产信息
  3. 攻击内网程序,造成缓冲区溢出。
  4. 利用file伪协议读取文件

举例:

端口探测:

http://www.tony.com/index.php?url=http://127.0.0.1:3306

读取文件:

http://www.tony.com/index.php?url=file:///etc/passwd

内网的JBoss攻击:

http://www.tony.com/index.php?url=http://192.168.1.88:8080
http://www.tony.com/index.php?url=http://192.168.1.88:8080/jmx-console/
// 发现存在jmx控制台未授权访问漏洞
通过jboss.deployment接口部署Web木马应用
获取Webshell
执行命令

SSRF防御

  1. 过滤请求协议,只允许http或https的协议
  2. 限制访问的IP地址
  3. 限制访问的端口
  4. 设置统一的错误处理页面,防止信息泄漏!


Tags:Web漏洞   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、SQL注入漏洞SQL 注入攻击( SQL Injection ),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串...【详细内容】
2021-12-10  Tags: Web漏洞  点击:(23)  评论:(0)  加入收藏
AWVS是Acunetix Web Vulnerability Scanner的缩写它是一个自动化的Web应用程序安全测试工具,审计检查漏洞。它可以扫描任何可通过Web浏览器访问的和遵循HTTP/HTTPS规则的Web...【详细内容】
2021-01-27  Tags: Web漏洞  点击:(408)  评论:(0)  加入收藏
CSRF跨站请求伪造(Cross-Site Request Forgery)CSRF经常配合XSS一起进行攻击!(同XSS类似,都属于跨站攻击,不攻击服务器端而攻击正常访问网站的用户!)XSS利用站点内的信任用户,CS...【详细内容】
2020-10-22  Tags: Web漏洞  点击:(560)  评论:(0)  加入收藏
前边的文章中,我们已经介绍过许多漏洞扫描的工具,今天我们就来介绍其中一款名叫AWVS漏洞扫描工具的使用。Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫...【详细内容】
2020-09-04  Tags: Web漏洞  点击:(253)  评论:(0)  加入收藏
可以检查安全应用程序中的漏洞。攻击者可能会发现他们可能利用的隐藏目录和敏感文件等漏洞。Ots ANQ本地文件包含带有URL /gui/file_viewer.php的应用程序可能容易受到本地...【详细内容】
2020-08-03  Tags: Web漏洞  点击:(169)  评论:(0)  加入收藏
Kali工具库之Nikto作者:Arch3r工具简介Nikto是一个开源的WEB扫描评估软件,可以对Web服务器进行多项安全测试,能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他...【详细内容】
2020-05-29  Tags: Web漏洞  点击:(138)  评论:(0)  加入收藏
SSI 注入全称Server-Side Includes Injection,即服务端包含注入。SSI 是类似于 CGI,用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。SSI是嵌入HTML页...【详细内容】
2020-05-25  Tags: Web漏洞  点击:(97)  评论:(0)  加入收藏
CSRF介绍什么是CSRF呢?我们直接看例子。https://mp.toutiao.com/profile_v3/graphic/preview?do=delete&pgc_id=6829574701128352260这个URL是头条删除pgc_id为6829574701128...【详细内容】
2020-05-25  Tags: Web漏洞  点击:(127)  评论:(0)  加入收藏
仅用于学习测试,违法自负! 这里给大家分享几点关于越权漏洞的发现方法,这类型漏洞通常发生在Web应用提供给用户基于输入的对象中,漏洞造成的影响将会致使攻击者可以绕过授权限...【详细内容】
2020-01-09  Tags: Web漏洞  点击:(136)  评论:(0)  加入收藏
首先我们要了解到漏洞扫描器的扫描原理怎样的网络漏洞扫描器对目标系统进行漏洞检测时,首先探测目标系统的存活主机,对存活主机进行端口扫描,确定系统听开放的端口,同时根据协议...【详细内容】
2019-12-10  Tags: Web漏洞  点击:(220)  评论:(0)  加入收藏
▌简易百科推荐
据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器。开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而...【详细内容】
2021-12-24  邮电设计技术    Tags:Log4j   点击:(7)  评论:(0)  加入收藏
我们所见过的技术上最复杂的漏洞利用之一”- 谷歌“零号项目”安全研究人员评价ForcedEntry无交互攻击。多年来,以色列间谍软件开发商NSO集团针对安卓和iOS设备开发出了多款...【详细内容】
2021-12-24  科技湃小编    Tags:黑客   点击:(8)  评论:(0)  加入收藏
这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。具体涉及到的入口类是lo...【详细内容】
2021-12-15  IT技术资源爱好者    Tags:Log4j漏洞   点击:(13)  评论:(0)  加入收藏
随着网络安全防御需求扩大,网安技术、产品和解决方案数量也随之激增。为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eS...【详细内容】
2021-09-18  数说安全    Tags:网络安全公司   点击:(188)  评论:(0)  加入收藏
作者:左右里编辑:釉子 据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击Linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。SSH,一种为远程...【详细内容】
2021-07-22  看雪学院    Tags:矿机   点击:(185)  评论:(0)  加入收藏
在互联网、金融和区块链领域风靡的数字资产/版权证书(NFT)正面临一系列网络安全危机。上周四,一位自学成才的艺术家麦克·温克尔曼(Mike Winkelmann)以6930万美元的价格在...【详细内容】
2021-03-19      Tags:漏洞   点击:(155)  评论:(0)  加入收藏
前段时间,sudo被曝不要密码就可进行root提权的漏洞引起一片哗然,众多公司纷纷连夜打补丁来避免损失。FreeBuf也对此进行了相应的报道《不用密码就能获取root权限?sudo被曝新漏...【详细内容】
2021-03-16      Tags:root提权漏洞   点击:(135)  评论:(0)  加入收藏
深度学习是机器学习的一个子领域,它采用了一个特定的模型:一族通过某种方式连接起来的简单函数。由于这类模型的结构是受到人类大脑结构的启发而创造出来的...【详细内容】
2021-02-26      Tags:深度学习   点击:(269)  评论:(0)  加入收藏
物联网技术正在加速向各行业渗透,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。...【详细内容】
2021-01-22      Tags:物联网安全   点击:(463)  评论:(0)  加入收藏
CSRF跨站请求伪造(Cross-Site Request Forgery)CSRF经常配合XSS一起进行攻击!(同XSS类似,都属于跨站攻击,不攻击服务器端而攻击正常访问网站的用户!)XSS利用站点内的信任用户,CS...【详细内容】
2020-10-22      Tags:Web漏洞   点击:(560)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条