当前位置：首页 > news >正文

csrf自动化检测调研

news 2025/9/16 7:50:35

https://github.com/pillarjs/understanding-csrf/blob/master/README_zh.md

CSRF

攻击者在钓鱼站点，可以通过创建一个AJAX按钮或者表单来针对你的网站创建一个请求：

<form action="https://my.site.com/me/something-destructive" method="POST"><button type="submit">Click here for free money!</button>
</form>

csrf防御

只接收JSON：通过只接收JSON数据作为API的输入，可以降低CSRF攻击的风险。因为JSON数据在请求中是作为数据负载（payload）的一部分发送的，而不是在URL参数或表单数据中。这使得攻击者无法通过构造恶意URL或表单来伪造请求。
禁用CORS（Cross-Origin Resource Sharing）是一种减轻CSRF攻击的方法之一。CORS是一种机制，用于控制浏览器在跨域请求时是否允许访问资源。默认情况下，浏览器会执行同源策略，即在一个域名下的页面只能请求同一域名下的资源。但是，通过CORS机制，服务器可以发送特定的响应头，告诉浏览器允许来自其他域名的请求访问资源。建议限制跨域请求只允许使用特定的HTTP方法，如OPTIONS、HEAD和GET。这是因为这些方法通常不会对服务器端产生副作用，即不会执行对数据的修改或删除等操作。 需要注意的是，禁用CORS并不能完全阻止CSRF攻击。因为在CSRF攻击中，攻击者利用用户在已登录状态下的身份执行操作，而不是直接通过JavaScript发起请求（使用JavaScript发起AJAX请求是限制跨域的）。因此，即使禁用了CORS，攻击者仍然可以通过其他方式欺骗用户执行恶意请求。
检验referer。检验referrer头部很麻烦，但是你可以阻止那些referrer头部不是来自你的页面的请求。
代码编写者不要让get请求具体副作用，不要让get请求可以去增删改数据库。应该确保将GET请求用于无副作用的操作，仅用于获取资源的信息。对于具有副作用的操作，应使用POST、PUT、DELETE等方法
CSRF Tokens（跨站请求伪造令牌）是一种解决CSRF攻击的安全措施。以下是CSRF tokens的工作原理：
1. 服务器向客户端发送一个令牌（token）。
2. 客户端在提交表单时将该令牌包含在表单中。
3. 如果该令牌不合法，服务器将拒绝该请求。
攻击者需要通过某种方式获取你站点的CSRF令牌，他们只能使用JavaScript来实现。因此，如果你的站点不支持CORS（跨域资源共享），攻击者无法获取到CSRF令牌，从而降低了威胁。

确保CSRF令牌无法通过AJAX访问！不要创建一个用于获取令牌的/CSRF路由，并且尤其不要在该路由上支持CORS！

因为web正在向JSON API转移，并且浏览器变得更安全，有更多的安全策略， CSRF正在变得不那么值得关注。阻止旧的浏览器访问你的站点，并尽可能的将你的API变成JSON API，然后你将不再需要CSRF token。

s0md3v/Bolt 自动化csrf

https://github.com/s0md3v/Bolt
https://pentesttools.net/bolt-cross-site-request-forgery-csrf-scanning-suite/

1、Crawling
Bolt 将目标网站抓取到指定的深度，并将找到的所有 HTML 表单存储在数据库中以供进一步处理。

2、Evaluating
Bolt 找出强度不够的令牌以及不受保护的表单。

3、Comparing
这一阶段的重点是检测重放攻击场景，从而检查令牌是否已发出多次。它还计算所有标记之间的平均编辑距离，以查看它们是否相似。
令牌还会与包含 250 多个哈希模式的数据库进行比较。

4、Observing
在此阶段，向单个网页发出 100 个同时请求，以查看是否为这些请求生成相同的令牌。

5、Testing
此阶段致力于主动测试CSRF保护机制。包括但不限于检查移动浏览器是否存在保护、使用自行生成的令牌提交请求以及测试令牌是否检查到一定长度。

6、Analysing
在此阶段执行各种统计检查，以查看令牌是否确实是随机的。在此阶段执行以下测试

其他maybe可以参考的项目：
https://github.com/0ang3el/EasyCSRF/blob/master/EasyCSRF.py
https://github.com/andresriancho/w3af/blob/master/w3af/plugins/audit/csrf.py

尝试分析

使用pikachu搭建环境
在这里插入图片描述
当测试者访问的到这个页面的时候，他就一定可以拿到一个正确的token

后面的逻辑就主要结合w3af和bolt
后续要基于的代码的话，应该就是完全基于bolt项目了

自动化检测CSRF（第二篇）

csrf自动化检测调研

CSRF

csrf防御

s0md3v/Bolt 自动化csrf

尝试分析

相关文章：

csrf自动化检测调研

记录一个Python鼠标自动模块用法和selenium加载网页插件的设置

【数据库系统概论】第3章-关系数据库标准语言SQL(1)

【Python】基于flaskMVT架构与session实现博客前台登录登出功能

为什么有的开关电源需要加自举电容？

【MCAL】TC397+EB-treso之MCU配置实战 - 芯片时钟

高级人工智能之群体智能：蚁群算法

【SpringBoot应用篇】【AOP+注解】SpringBoot+SpEL表达式基于注解实现权限控制

Java研学-HTTP 协议

差生文具多之(二): perf

【SPI和API有什么区别】

Day67力扣打卡

什么是网站监控？

游戏软件提示d3dcompiler_43.dll的五个解决方法，亲测靠谱

python使用opencv提取视频中的每一帧、最后一帧，并存储成图片

说说对React refs 的理解？应用场景？

Pytorch 读取t7文件

【YOLOV8预测篇】使用Ultralytics YOLO进行检测、分割、姿态估计和分类实践

[Linux] MySQL数据库之索引

【期末考试】计算机网络、网络及其计算考试重点

基于ASP.NET+ SQL Server实现（Web）医院信息管理系统

MongoDB学习和应用(高效的非关系型数据库)

相机Camera日志实例分析之二：相机Camx【专业模式开启直方图拍照】单帧流程日志详解

高频面试之3Zookeeper

Java - Mysql数据类型对应

Spring AI 入门：Java 开发者的生成式 AI 实践之路

DeepSeek 技术赋能无人农场协同作业：用 AI 重构农田管理 “神经网”

JS设计模式(4)：观察者模式

前端中slice和splic的区别

Elastic 获得 AWS 教育 ISV 合作伙伴资质，进一步增强教育解决方案产品组合