xgqfrms™, xgqfrms® : xgqfrms's offical website of cnblogs! xgqfrms™, xgqfrms® : xgqfrms's offical website of GitHub!

Web 安全问题验证:如何使用 CSRF 窃取 token/cookie All In One

Web 安全问题验证:如何使用 CSRF 窃取 token/cookie All In One

关于 CRSF 攻击和预防

CSRF / XSRF

https://en.wikipedia.org/wiki/Cross-site_request_forgery

https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html

https://infosec.mozilla.org/guidelines/web_security#csrf-prevention

https://owasp.org/www-community/attacks/csrf

https://portswigger.net/web-security/csrf

https://stackoverflow.com/questions/5207160/what-is-a-csrf-token-what-is-its-importance-and-how-does-it-work

CSRF 危害

CSRF 攻击方式

CSRF 防护策略

阻止不明外域的访问
同源检测
SameSite cookies
提交时要求附加本域才能获取的信息
CSRF Token
双重 Cookie 验证
短信验证码
邮箱验证码
Multi-Factor Authentication (MFA)
Two-Factor Authentication (2FA)

X-Frame-Options

https://www.davidairey.com/google-gmail-security-hijack/

https://www.anquanke.com/post/id/161724

demos

Gmail & CSRF

image

refs

©xgqfrms 2012-2020

www.cnblogs.com/xgqfrms 发布文章使用:只允许注册用户才可以访问!

原创文章,版权所有©️xgqfrms, 禁止转载 🈲️,侵权必究⚠️!

posted @   xgqfrms  阅读(204)  评论(1编辑  收藏  举报
相关博文:
· Web 安全问题验证:如何使用 XSS 窃取 token All In One
· SSL vs TLS vs SSH & HTTPS All In One
· [WEB安全] CSRF攻击和防御
· CSRF篇
· CSRF漏洞
阅读排行:
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· DeepSeek 开源周回顾「GitHub 热点速览」
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
历史上的今天:
2021-12-23 how to stop linux terminal echo disappeared quickly All in One
2021-12-23 npm script 自动打开浏览器 All In One
2021-12-23 vue provide inject 作用域测试,多个provide 同名覆盖
2021-12-23 html5 template All In One
2020-12-23 CSS Grid & Flex poster PDF 海报定制 All In One
2020-12-23 H5 CSS 悬浮滚动条 All In One
2020-12-23 JavaScript convert ES6 Map to Array All In One
点击右上角即可分享
微信分享提示