CSRF Token

原创 于 2025-06-09 12:28:55 发布 · 626 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #网络

以下是针对CSRF Token的核心解析及实战应用指南,结合渗透测试场景说明其价值与局限:

🔍 ​一、CSRF Token的本质与作用

1

2

  1. 安全定位

    • 动态口令​:由服务端生成的唯一随机字符串(如d3b07384d113edec49eaa6238ad5ff00),绑定用户会话(Session),用于区分合法请求与伪造请求。
    • 防御原理​:攻击者无法预知或窃取Token(除非存在XSS等漏洞),因此无法构造有效恶意请求。

  2. 工作流程

    图片代码

    graph LR
    A[用户访问表单] --> B[服务端生成Token]
    B --> C[嵌入表单隐藏域/响应头]
    C --> D[用户提交携带Token的请求]
    D --> E[服务端校验Token一致性]
    E --> F{合法?}
    F -->|是| G[执行操作]
    F -->|否| H[拒绝请求]

    用户访问表单

    服务端生成Token

    嵌入表单隐藏域/响应头

    用户提交携带Token的请求

    服务端校验Token一致性

    合法?

    执行操作

    拒绝请求

⚠️ ​二、为何靶场中Token可能“无用”

3

6

  1. 常见实现缺陷

    • 前端生成Token​:若Token由JS动态生成(如createCode()函数),未与后端Session绑定,攻击者可直接读取DOM值或重放旧Token。
    • 无校验逻辑​:后端未验证Token有效性,或仅做简单字符串比对(未绑定会话)。
    • Token泄漏​:通过XSS攻击可窃取Token(如document.querySelector('input[name=_csrf]').value)。

  2. 靶场典型场景
    Pikachu的CSRF Token关卡中,若编辑请求未校验Token或Token静态固定,则Burp Suite可直接修改参数完成攻击

    3

    http

    复制

    POST /update_profile HTTP/1.1
Cookie: sessionid=abc123
Content-Type: application/x-www-form-urlencoded

username=hacker&_csrf=fixed_token  # 固定Token绕过

⚡ ​三、渗透测试中Token的实战应用

3

7

  1. 自动化工具利用(Burp Suite)​

    • 插件CSRF Token Tracker​:自动从响应中提取Token并更新到后续请求,解决手工重放问题

      3

      • 配置示例

        yaml

        复制

        Target Host: www.vuln.com
Token Parameter: csrf_token
Extraction Source: HTML隐藏域
    • 重放攻击​:若Token未绑定会话或未过期,捕获一次合法请求后可无限重放。

  2. 组合漏洞突破

    • XSS+CSRF​:通过XSS漏洞窃取Token,构造恶意脚本自动提交表单:

      javascript

      复制

      fetch('/transfer', {
  method: 'POST',
  body: 'amount=10000&to=hacker&csrf_token='+document.cookie.match(/token=(.*?);/)[1]
});
    • SameSite Cookie绕过​:若Token通过Cookie传输且未设SameSite=Strict,可诱导用户从恶意站点发送请求携带Cookie

      5

🛡️ ​四、企业级防御的正确姿势

4

7

  1. Token设计规范

    • 服务端生成​:使用加密算法(如HMAC-SHA256)结合会话ID+时间戳生成

      7

    • 单次有效​:高危操作(如支付)使用一次性Token,用后立即失效。
    • 绑定设备指纹​:Token与用户IP/User-Agent哈希绑定,增强唯一性。

  2. 纵深防御矩阵

    防御层措施有效性
    基础层CSRF Token + SameSite Cookie99.2%
    增强层关键操作短信/TOTP二次验证99.99%
    监控层异常操作实时阻断(如异地频繁修改)100%

💎 ​总结

  • Token的价值​:在正确实现时是CSRF的核心防御手段,但需避免“前端生成、后端不校验”的无效设计。
  • 攻防建议​:
    • ⚠️ 渗透时关注Token的存储位置​(DOM/Cookie)、传输方式​(表单/Header)及后端校验逻辑
    • 🔒 开发时遵循服务端绑定会话HTTPS传输二次验证的三原则

      7

欲深入Burp插件配置或Token生成源码,可参考

3

的渗透案例及

4

的Java校验代码。
报错:{‘csrf_token‘: [‘The CSRF token is missing.‘]}
m0_53291740的博客
01-22 572
flask实现一个简单的注册界面报错。来包含 CSRF 令牌。
csrf token作用
neu_xiaolu的博客
06-05 1万+
作用: 是防御CSRF攻击。 如何生成? 在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。 应用: 表单中:添加隐藏字段csrf_token,来启用csrftoken验证 <form action="/add-...
CSRF防御之token认证
热门推荐
EmotionComputer
06-24 3万+
一、CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 二、CSRF攻击原理 三、防御CSRF的策略:token认证 1、token验证方法 CSRF 攻击之...
csrf-token
weixin_30807677的博客
06-05 279
全文引用ta的博客:https://blog.csdn.net/bigdaddy_maybe/article/details/82747274 在学习django的时候,在template中写form时,出现错误。要加{% csrf_token %}才可以,之前一直也没研究,只是知道要加个这个东西,具体是什么也不明白。 目的: csrf_token 是为了防止csrf(跨站请求伪造),什么是csr...
CSRF 攻击的应对之道
sarck3的专栏
02-12 1157
简介: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。然而,该攻击方式并不为大家所熟知,很多网站都有 CSRF安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性,然后就目前常用的几种防御方法进行分析
CSRF TOKEN
hck341204的专栏
02-14 271
[code="java"]package com.uncle5.pubrub.web.common; import java.util.UUID; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSession; public final class CsrfToken...
csrftoken
rikka
10-28 1285
csrftoken CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。攻击者通过HTTP请求江数据传送到服务器,从而盗取回话的cookie。盗取回话cookie之后,攻击者不仅可以获取用户的信息,还可以修改该cookie关联的账户信息。 解决csrf攻击的最...
Invalid CSRF Token(解决方案).md
08-31
Invalid CSRF Token(解决方案).md
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
当你遇到"CSRF token missing or incorrect"的错误时,这通常意味着在处理表单提交时,Django无法找到或验证有效的CSRF令牌。 首先,我们来理解Django中的CSRF机制。Django会在用户首次访问网站时生成一个唯一的...
在django中使用post方法时,需要增加csrftoken的例子
09-17
在Django框架中,为了确保Web应用的安全性,防止CSRF(Cross-site request forgery)攻击,开发者需要在处理POST请求时添加一个名为`csrftoken`的令牌。CSRF攻击是一种恶意用户在用户浏览器中利用已登录用户的权限...
CSRF攻击及防止
zhangmoyan9527的博客
08-14 1214
  CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。 CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账...... 造成的问题:个人隐私泄露以及财产安全。   CSRF攻击示意图 客户端访问服务器时没有同服务器做安全验证   防止 CSRF 攻...
CSRF的攻击与防御
Java/Android/IOS/前端/云计算
10-22 3027
发布时间:2012年08月28日 分享 推荐打印收藏 CSRFWeb应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
关于CSRFcsrftoken
06-27 316
CSRF 虽然利用了session验证机制的漏洞,一般使用加密token的方式防御,但是其本身和session以及JWT token没有直接联系。 描述 CSRF利用用户正常登录产生的cookie,利用钓鱼网站传给用户发送一张有内容的表单,并携带用户的正常cookies访问网站,达到将伪造的表单通过用户之手传到网站上的目的。为了避免用户提交其他网站生成的表单,网站在用户登录时签发给用户一...
跨站攻击和利用CSRF token来防御
FinixLei的专栏 (https://github.com/FinixLei)
06-14 1934
跨站攻击: 用户首先访问网银站点,登录成功后,浏览器拿到token 用户并没有登出网银站点,此时又登录一个钓鱼站点 钓鱼站点有一个诱惑链接,用户点了此链接,此链接的内容是一个URL,而此URL的实质就是转账给钓鱼者,用的是网银的标准转账URL. 用户点此链接后,浏览器封装HTTP请求,当看见是访问那个尚未退出的网银站点,就自动加上了cookie与auth token 于是,authentica...
CSRF 攻击实验:Token 不与 Session 绑定绕过验证
Flag少侠的博客
05-19 4304
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
csrf_token作用说明
weixin_42578783的博客
12-17 584
https://blog.csdn.net/bigdaddy_maybe/article/details/82747274
CSRF Token 原理
weixin_52268321的博客
07-29 940
CSRF 攻击成功的关键是,恶意网站让浏览器自动发起一个请求,,正常网站拿到 cookie 后会认为这是正常用户,就允许请求。
CSRF攻击报错Forbidden (403)的Token验证机制
shejizuopin的博客
05-22 342
跨站请求伪造(CSRF)攻击是一种利用用户登录状态执行未授权操作的安全漏洞。为防御此类攻击,Token验证机制被广泛采用。该机制通过在请求中嵌入随机生成的Token,并在服务器端验证其有效性来防止CSRF攻击。本文通过Flask和Django的代码示例,展示了如何实现Token验证机制,并对比了手动实现与框架内置机制的优缺点。总结指出,Token验证机制是防御CSRF攻击的有效手段,开发者应根据框架特点选择合适的实现方式,确保Token安全生成、传输和验证,以提升应用安全性。
Csrf token
最新发布
06-21
### CSRF Token 的生成、使用及安全性 #### 1. CSRF Token 的生成 CSRF Token 是一种随机生成的字符串,通常在用户会话初始化时由服务器生成并绑定到用户的会话中。生成方法可以包括使用加密算法结合时间戳、用户标识符(如用户ID)以及其他动态信息来确保其唯一性[^3]。例如,可以使用以下 Python 示例代码生成一个基于 HMAC 的 CSRF Token: ```python import hmac import hashlib import time import base64 def generate_csrf_token(secret_key, user_id): timestamp = str(int(time.time())) token_data = f"{user_id}:{timestamp}" hashed = hmac.new(secret_key.encode(), token_data.encode(), hashlib.sha256) return base64.urlsafe_b64encode(hashed.digest()).decode() ``` 此代码片段通过结合用户ID和时间戳生成一个 HMAC 哈希值,并将其编码为 Base64 格式以提高可读性。 #### 2. CSRF Token 的使用 CSRF Token 的主要用途是防止跨站请求伪造攻击。它通过以下方式实现: - **存储**:Token 通常存储在用户的会话中或作为 HTTP-only Cookie 发送到客户端。 - **传输**:在表单提交或 AJAX 请求中,Token 被嵌入到请求体或头部中[^3]。 - **验证**:服务器接收到请求后,将从请求中提取 Token 并与存储在会话中的 Token 进行比较。如果匹配,则认为请求合法;否则拒绝请求。 以下是 HTML 表单中嵌入 CSRF Token 的示例: ```html <form action="/submit" method="POST"> <input type="hidden" name="csrf_token" value="{{ csrf_token }}"> <button type="submit">Submit</button> </form> ``` 在 JavaScript 中通过 AJAX 请求发送 Token 的示例: ```javascript fetch('/submit', { method: 'POST', headers: { 'Content-Type': 'application/json', 'X-CSRF-Token': '{{ csrf_token }}' }, body: JSON.stringify({ data: 'example' }) }); ``` #### 3. CSRF Token安全性 为了确保 CSRF Token安全性,需要遵循以下原则: - **绑定会话**:Token 必须与用户的会话绑定,避免被其他用户冒用。 - **HTTPS 传输**:所有包含 Token 的通信必须通过 HTTPS 加密,防止中间人攻击。 - **有效期管理**:Token 应具有合理的有效期,过期后需重新生成[^3]。 - **二次验证**:对于关键操作,建议结合短信验证码或 TOTP(基于时间的一次性密码)进行二次验证[^3]。 此外,还需要注意 Token 的存储位置。如果存储在 DOM 中,可能会受到 XSS 攻击的影响;因此推荐使用 HTTP-only Cookie 存储 Token。 #### 示例:CSRF Token 的校验逻辑 以下是一个简单的 Flask 后端校验 CSRF Token 的示例: ```python from flask import request, session, abort def validate_csrf_token(): submitted_token = request.form.get('csrf_token') or request.headers.get('X-CSRF-Token') if not submitted_token: abort(403, "Missing CSRF Token") stored_token = session.get('csrf_token') if not stored_token or submitted_token != stored_token: abort(403, "Invalid CSRF Token") ``` ### 总结 CSRF Token 是一种有效的防御机制,用于防止跨站请求伪造攻击。生成时应确保其唯一性和不可预测性,使用时需绑定用户会话并通过 HTTPS 传输,同时定期更新以提高安全性[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aheyor

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值