CSRF
目前累計服務客戶成百上千家,積累了豐富的產(chǎn)品開發(fā)及服務經(jīng)驗。以網(wǎng)站設計水平和技術實力,樹立企業(yè)形象,為客戶提供成都網(wǎng)站制作、做網(wǎng)站、網(wǎng)站策劃、網(wǎng)頁設計、網(wǎng)絡營銷、VI設計、網(wǎng)站改版、漏洞修補等服務。創(chuàng)新互聯(lián)始終以務實、誠信為根本,不斷創(chuàng)新和提高建站品質(zhì),通過對領先技術的掌握、對創(chuàng)意設計的研究、對客戶形象的視覺傳遞、對應用系統(tǒng)的結合,為客戶提供更好的一站式互聯(lián)網(wǎng)解決方案,攜手廣大客戶,共同發(fā)展進步。CSRF
全拼為Cross Site Request Forgery
,譯為跨站請求偽造。
CSRF
指攻擊者盜用了你的身份,以你的名義發(fā)送惡意請求。
包括:以你名義發(fā)送郵件,發(fā)消息,盜取你的賬號,甚至于購買商品,虛擬貨幣轉賬......
造成的問題:個人隱私泄露以及財產(chǎn)安全。
CSRF攻擊示意圖
客戶端訪問服務器時沒有同服務器做安全驗證
防止 CSRF
1.在客戶端向后端請求界面數(shù)據(jù)的時候,后端會往響應中的 cookie 中設置 csrf_token 的值
2.在 Form 表單中添加一個隱藏的的字段,值也是 csrf_token
3.在用戶點擊提交的時候,會帶上這兩個值向后臺發(fā)起請求
4.后端接受到請求,以會以下幾件事件: •從 cookie中取出 csrf_token
5.如果比較之后兩值一樣,那么代表是正常的請求,如果沒取到或者比較不一樣,代表不是正常的請求,不執(zhí)行下一步操作
代碼演示
未進行 csrf 校驗的 WebA
后端代碼實現(xiàn)
from flask import Flask, render_template, make_response from flask import redirect from flask import request from flask import url_for app = Flask(__name__) @app.route('/', methods=["POST", "GET"]) def index(): if request.method == "POST": # 取到表單中提交上來的參數(shù) username = request.form.get("username") password = request.form.get("password") if not all([username, password]): print('參數(shù)錯誤') else: print(username, password) if username == 'laowang' and password == '1234': # 狀態(tài)保持,設置用戶名到cookie中表示登錄成功 response = redirect(url_for('transfer')) response.set_cookie('username', username) return response else: print('密碼錯誤') return render_template('temp_login.html') @app.route('/transfer', methods=["POST", "GET"]) def transfer(): # 從cookie中取到用戶名 username = request.cookies.get('username', None) # 如果沒有取到,代表沒有登錄 if not username: return redirect(url_for('index')) if request.method == "POST": to_account = request.form.get("to_account") money = request.form.get("money") print('假裝執(zhí)行轉操作,將當前登錄用戶的錢轉賬到指定賬戶') return '轉賬 %s 元到 %s 成功' % (money, to_account) # 渲染轉換頁面 response = make_response(render_template('temp_transfer.html')) return response if __name__ == '__main__': app.run(debug=True, port=9000)
另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應用場景需求。
網(wǎng)站欄目:Flask模擬實現(xiàn)CSRF攻擊的方法-創(chuàng)新互聯(lián)
網(wǎng)址分享:http://muchs.cn/article26/djiejg.html
成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供品牌網(wǎng)站設計、外貿(mào)網(wǎng)站建設、網(wǎng)站建設、軟件開發(fā)、網(wǎng)站設計、動態(tài)網(wǎng)站
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容