版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、one click什么是CSRF攻擊CSRF/XSRF 。CSRF (Cross-site request forgery ),中文名稱:跨站請(qǐng)求偽造,也被稱為:attack/sessi on ridi ng,縮寫為:因?yàn)樵贏SP.NET程序中,我們的用戶信息都是存在與cookies里面的,此時(shí)在用戶自己來說,程序已經(jīng)可以算是裸奔了。正因?yàn)槿绱?Web程序接受的正??蛻舳苏?qǐng)求一般來自用戶的點(diǎn)擊鏈接和表單提交等行為??墒菒阂夤粽邊s可以依靠腳本和瀏覽器的安全缺陷來劫持客戶端會(huì)話、偽造客戶端請(qǐng)求。攻擊者盜用了你的身份,以你的名義發(fā)送惡意請(qǐng)求,以你名義發(fā)送郵件,發(fā)消息,盜取你的賬號(hào),甚至于購買商品,
2、虛擬貨幣轉(zhuǎn)賬造成的問題包括:個(gè)人隱私泄露以及財(cái)產(chǎn)安全。這就是CSRF攻擊。CSRF漏洞的攻擊一般分為站內(nèi)和站外兩種類型:CSRF站內(nèi)類型的漏洞在一定程度上是由于程序員濫用$_REQUEST類變量造成的,一些敏感的操作本來是要求用戶從表單提交發(fā)起POST請(qǐng)求傳參給程序,但是由于使用了$_REQUEST等變量,程序也接收GET請(qǐng)求傳參,這樣就給攻擊者使用 CSRF攻擊創(chuàng)造了 條件,一般攻擊者只要把預(yù)測好的請(qǐng)求參數(shù)放在站內(nèi)一個(gè)貼子或者留言的圖片鏈接里,受害者瀏覽了這樣的頁面就會(huì)被強(qiáng)迫發(fā)起請(qǐng)求。CSRF站外類型的漏洞其實(shí)就是傳統(tǒng)意義上的外部提交數(shù)據(jù)問題,留言評(píng)論等的表單加上水印以防止SPAM問題,但是
3、為了用戶的體驗(yàn)性,一些操作可能沒般程序員會(huì)考慮給一些有做任何限制,所以攻擊者可以先預(yù)測好請(qǐng)求的參數(shù),在站外的 Web頁面里編寫javascript腳本偽造文件請(qǐng)求或和自動(dòng)提交的表單來實(shí)現(xiàn)GET、POST請(qǐng)求,用戶在會(huì)話狀態(tài)下點(diǎn)擊鏈接訪問站外的 Web頁面,客戶端就被強(qiáng)迫發(fā)起請(qǐng)求。瀏覽器的安全缺陷現(xiàn)在的Web應(yīng)用程序幾乎都是使用Cookie來識(shí)別用戶身份以及保存會(huì)話狀態(tài),但是所有的瀏覽器在最初加入 Cookie功能時(shí)并沒有考慮安全因素,從WEB頁面產(chǎn)生的文件請(qǐng)求都會(huì)帶上COOKIEMVC中防止CSRF攻擊使用AntiForgeryToken 令牌,在ASP.NET的核心中為我們提供了一個(gè)用來檢測
4、和組織CSRF攻擊的令牌。()就可以阻止 CSRF攻擊。model MvcA pp licatio n.Models. PersonViewBag.Title ="修改人員"Layout = "/Views/Shared/_Layout.cshtml"<h2>修改人員</h2><scri pt src="Url.C onten t("/Scri pts/jquery.validate.mi n.js")"typ e="text/javascri pt"x/scn p
5、t><scri ptsrc="Url.C on te nt("/Scn pts/jquery.validate.u nobtrusive.mi n.js")" typ e="text/javascri pt"x/scn pt>us ing (Html.Begi nForm()Html.A ntiForgeryToke n()Html.Validatio nSummary(true)<fieldset><legend>人員信息 </legend>Html.Hidde nFor(mod
6、el => model.ID)<div class="editor-label">Html.LabelFor(model => model.Name)</div><div class="editor-field">Html.EditorFor(model => model.Name)Html.Validati onM essageFor(model => model.Name)</div><div class="editor-label">Html.L
7、abelFor(model => model.Age)</div><div class="editor-field">Html.EditorFor(model => model.Age)Html.Validati onM essageFor(model => model.Age)</div>保存"/>vp>vinput typ e="submit" value="</p></fieldset><div>Html.ActionLink(
8、"返回列表", "Index")v/div>相應(yīng)的我們要在 Controller中也要加入ValidateAntiForgeryToken過濾特性。該特性表示檢測服務(wù)器請(qǐng)求是否被篡改。注意:該特性只能用于 post請(qǐng)求,get請(qǐng)求無效。/ 修改方法/ P OST: /Perso n/Edit/5ValidateA ntiForgeryToke nHtt pP ostp ublic Action Result Edit(i nt id, Person person) try數(shù)據(jù)庫操作代碼/ return RedirectToActio n("
9、;Success", person);catch return View();運(yùn)行效果和上面的一樣施 ggakge 二i修改用戶成功!姓名主張三然后我們在運(yùn)行剛才保存的Html文件看看數(shù)據(jù)庫操作代碼JA_'-A 詹吐A F B G冥I菲再哄必要的防偽標(biāo)“.HT 應(yīng)用程序中的服務(wù)器錯(cuò)誤;未提供必要的防偽標(biāo)記或萌偽標(biāo)記無效。軌獰管葦WM謁哦期叵.也戎未涇K逢在匡常-詞世左塔拽廂薛號(hào)耳 吐了爭 有共懐諳溟旦豈歳転中5藪褚謹(jǐn)町蟲墜的請(qǐng)a右鳥Ffi哈哈報(bào)錯(cuò)了。那就證明我們現(xiàn)在的阻止CSRF攻擊是有效的。使用Salt值加強(qiáng)保護(hù)為了保證我們的 An tiForgeryToken 阻止在程序
10、中唯一,更好的加密An tiForgeryToken ,我們可以為 AntiForgeryToken設(shè)置Salt值。這樣,即使攻擊者設(shè)法得到了令牌,但是如果Salt值不匹配也不能進(jìn)行 post操作。電/修改方法/ P OST: /Perso n/Edit/5ValidateA ntiForgeryToke n(Salt = "aa")Htt pP ostp ublic Action Result Edit(i nt id, Person person) try/ return RedirectToActio n("Success", person);catch return View();我們暫時(shí)不修改 View代碼運(yùn)行看看 “ :胡®打耳/丘:巴£;3固Q X 懇未產(chǎn)方偽標(biāo)::乜T 應(yīng)用程序中的服務(wù)器錯(cuò)誤舟未建供必要的防偽標(biāo)記或防偽標(biāo)記無效«男;*獰登1; Web
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 幼兒園舞蹈教育活動(dòng)的開展計(jì)劃
- 豐富課外活動(dòng)的策劃與組織計(jì)劃
- 2024年金剛石膜-聲表面波器件(SAW)合作協(xié)議書
- 2025屆黑龍江省齊齊哈爾市普通高中聯(lián)誼校高三聯(lián)合模擬化學(xué)試題含解析
- 2025屆廣東省深圳市樂而思中心高三(高補(bǔ)班)下學(xué)期期中考試化學(xué)試題含解析
- 2025屆撫州市高三下學(xué)期第六次檢測試題化學(xué)試題試卷含解析
- 2025屆福建省三明市重點(diǎn)中學(xué)第二學(xué)期高三年級(jí)期中考試化學(xué)試題試卷含解析
- 2024-2025學(xué)年浙江省寧波市達(dá)標(biāo)名校熱身卷化學(xué)試題試卷含解析
- 2024-2025學(xué)年新疆生產(chǎn)建設(shè)兵團(tuán)農(nóng)八師一四三團(tuán)一中高三年級(jí)月考(三)化學(xué)試題含解析
- 2024-2025學(xué)年四川省眉山市外國語學(xué)校招生全國統(tǒng)一考試仿真卷(五)-高考化學(xué)試題仿真試題含解析
- 大學(xué)勞動(dòng)教育主題班會(huì)
- 咖啡經(jīng)營策略分析
- 旅行社會(huì)員卡方案
- 交叉審核方案
- 人教版五年級(jí)上冊小數(shù)除法豎式計(jì)算練習(xí)練習(xí)400題及答案
- 《兒童文學(xué)》課程標(biāo)準(zhǔn)
- 湘教版勞動(dòng)與技術(shù)初中勞動(dòng)教育全冊教案
- 2024年周口職業(yè)技術(shù)學(xué)院高職單招(英語/數(shù)學(xué)/語文)筆試歷年參考題庫含答案解析
- 廣東省學(xué)位英語歷年真題及答案
- 腦卒中健康教育知識(shí)講座
- 蛋糕券發(fā)放方案
評(píng)論
0/150
提交評(píng)論