比特幣csrf是什麼
⑴ 什麼是CSRF攻擊,如何預防
下面是CSRF的常見特性:
依靠用戶標識危害網站
利用網站對用戶標識的信任
欺騙用戶的瀏覽器發送HTTP請求給目標站點
另外可以通過IMG標簽會觸發一個GET請求,可以利用它來實現CSRF攻擊。
CSRF攻擊依賴下面的假定:
攻擊者了解受害者所在的站點
攻擊者的目標站點具有持久化授權cookie或者受害者具有當前會話cookie
目標站點沒有對用戶在網站行為的第二授權
這里要說的解決辦法是利用Token
以下信息來自:Sinesafe官方
Token,就是令牌,最大的特點就是隨機性,不可預測。一般黑客或軟體無法猜測出來。
那麼,Token有什麼作用?又是什麼原理呢?
Token一般用在兩個地方:
1)防止表單重復提交、
2)anti csrf攻擊(跨站點請求偽造)。
兩者在原理上都是通過session token來實現的。當客戶端請求頁面時,伺服器會生成一個隨機數Token,並且將Token放置到session當中,然後將Token發給客戶端(一般通過構造hidden表單)。下次客戶端提交請求時,Token會隨著表單一起提交到伺服器端。然後,如果應用於「anti csrf攻擊」,則伺服器端會對Token值進行驗證,判斷是否和session中的Token值相等,若相等,則可以證明請求有效,不是偽造的。不過,如果應用於「防止表單重復提交」,伺服器端第一次驗證相同過後,會將session中的Token值更新下,若用戶重復提交,第二次的驗證判斷將失敗,因為用戶提交的表單中的Token沒變,但伺服器端session中Token已經改變了。
上面的session應用相對安全,但也叫繁瑣,同時當多頁面多請求時,必須採用多Token同時生成的方法,這樣佔用更多資源,執行效率會降低。因此,也可用cookie存儲驗證信息的方法來代替session Token。比如,應對「重復提交」時,當第一次提交後便把已經提交的信息寫到cookie中,當第二次提交時,由於cookie已經有提交記錄,因此第二次提交會失敗。不過,cookie存儲有個致命弱點,如果cookie被劫持(xss攻擊很容易得到用戶cookie),那麼又一次gameover。黑客將直接實現csrf攻擊。
所以,安全和高效相對的。具體問題具體對待吧。
也可以通過安全公司來解決,國內也就Sinesafe和綠盟等安全公司比較專業.
⑵ 什麼叫做使用CSRF攻擊破解WPA密碼
孩子,如果在安卓手機上想破解的話,那就目前來說真的是異想天開。別說在安卓手機,就算是電腦也很有難度。我也曾像你一樣懷著一個燥熱的心,想免費蹭網。我曾一度在各大WiFi論壇遊走,再終還是失望而歸。現在WiFi的加密方式都是wpa/wpa2,這種加密方式與古老的wep加密方式是無法比的。有空多到其他WiFi無線論壇逛逛吧。另外在pc端wep加密的WiFi現在是100%可以破解,而對於wpa/wpa2的破解有一個系統叫cdlinux,聽說也有人破解了,但靠運氣和人品。還有就是一些收費的,宣稱100%可以破解的,在淘寶一大堆什麼萬能蹭網破解網卡。。。。。。。。。。。最後還是想對你說,,放棄吧。。。
⑶ 什麼是 CSRF攻擊
,即在某個惡意站點的頁面上,促使訪問者請求你的網站的某個 URL(通常會用 POST 數據方式),從而達到改變伺服器端數據的目的。這一類攻擊依賴於你的網頁中的表單,脆弱的表單很容易受到攻擊。對於你網站中的訪問者而言,可能會受到以下攻擊: * 在你的網站之外記錄受攻擊者的日誌(比如:Slashdot); * 修改受攻擊者在你的網站的設置(比如:Google); * 修改你的硬體防火牆; * 使用受攻擊者的登錄信息在你的網站中發表評論或留言; * 將資金轉移到另一個用戶帳號中。 CSRF 攻擊的典型是那些使用 cookie 記錄登錄信息的網站,但對於一些允許某個 IP 地址訪問的頁面(如內部網),這一類攻擊也會奏效。 CSRF 攻擊通常會使用到 JavaScript(但不僅限於 JavaScript)實現跨站點自動提交表單--表單數據可以隱藏,提交按鈕可以偽裝成鏈接或滾動條。 * 確定那些接受可改變伺服器數據的 CGI 只接受 POST 參數,不接受 GET 參數,一些伺服器端語言默認同時接受兩種方式提交過來的參數; * 確定表單提交處理的是你自己的表單,可以使用一個隱藏欄位中存放MD5字元串,此字元串是將登錄 cookie 數據與伺服器端存放的密鑰進行 MD5 之後的結果,只有這個 MD5 字元串正確時才接受表單數據; * 另外還可以增加一個更為嚴格的方法:在表單中增加一個時間戳的隱藏欄位,並將其包含到 hash 字元串中,如果時間戳超過某個時間,則認為表單已過期。當表單過期時,給出一個方法可以讓用戶重新提交表單,比如將用戶之前填寫的數據依舊放入表單中,但使用一個新的 hash 字元串。 一個PHP的表單例子,表單代碼:<?php$key = y8s4Z7m2; //MD5加密密鑰$time = time(); //當前時間 $hash = md5($time.$key); //hash 字元串?<form method="post" action="comment.php" <pYour name: <input type="text" name="person_name" /</p <pComment: /<textarea name="comment" rows="10" cols="60"</textarea</p <input type="hidden" name="time" value="<?php echo $time; ?" / <input type="hidden" name="hash" value="<?php echo $hash; ?" / <p<input type="submit" name="comment" value="Submit Comment" /</p</form表單提交之後的 comment.php 後台處理程序代碼:<?php$key = y8s4Z7m2; //密鑰,與上面的一致 $expire = 1800; //表單過期時間:半小時 $my_hash = md5($_POST[time].$key); //正確的 hash 字元串 if ($my_hash != $_POST[hash]) //hash 字元串不正確 die(非法表單提交。); if (time() - $_POST[time] $expire) { //表單已經過期,生成新的時間戳和 hash 字元串,顯示表單讓用戶重新提交。(此處省略)//….}//表單驗證通過,可以接受表單提交的數據,並進行其它操作。 //….?
⑷ 什麼是 CSRF 攻擊,如何避免
CSRF:Cross-Site Request Forgery(中文:跨站請求偽造),可以理解為攻擊者盜用了你的身份,以你的名義發送惡意請求,比如:以你名義發送郵件、發消息、購買商品,虛擬貨幣轉賬等。
防禦手段:
驗證請求來源地址;
關鍵操作添加驗證碼;
在請求地址添加 token 並驗證。
⑸ 什麼是CSRF攻擊
一.CSRF是什麼?
CSRF(Cross-site request forgery),中文名稱:跨站請求偽造,也被稱為:one click attack/session riding,縮寫為:CSRF/XSRF。
二.CSRF可以做什麼?
這可以這么理解CSRF攻擊:攻擊者盜用了你的身份,以你的名義發送惡意請求。CSRF能夠做的事情包括:以你名義發送郵件,發消息,盜取你的賬號,甚至於購買商品,虛擬貨幣轉賬......造成的問題包括:個人隱私泄露以及財產安全。
三.CSRF漏洞現狀
CSRF這種攻擊方式在2000年已經被國外的安全人員提出,但在國內,直到06年才開始被關注,08年,國內外的多個大型社區和交互網站分別爆出CSRF漏洞,如:NYTimes.com(紐約時報)、Metafilter(一個大型的BLOG網站),YouTube和網路HI......而現在,互聯網上的許多站點仍對此毫無防備,以至於安全業界稱CSRF為「沉睡的巨人」。
⑹ 幾個著名網站都是怎麼防禦csrf
https是保證你和伺服器之間傳輸的所有內容都是加密
⑺ 解釋什麼是xss,csrf,sql注入以及如何防範
許可權控制 以及SQL注入、CSRF跨站腳本攻擊、XSS漏洞分別在URL參數、表單中的攻擊,Session超時等,這主要是web系統的安全測試
⑻ 怎樣判斷某種行為是否屬於 CSRF 攻擊
概括地講,行政違法行為是指公民、法人或其他組織違反行政管理秩序,應由行政機關給予行政處罰的行為。行政違法行為的特徵有:(1)行為的主體是公民、法人或其他組織;(2)行為侵害的客體是行政管理秩序;(3)行為必須具有法律、法規規定應當給予行政處罰的特徵。違反民事法律規定,損害他人民事權利的行為。其構成條件主要有兩條:(1)侵犯他人受到民事法律保護的權利和利益;(2)行為具有違法性,即違反民事法律的規定。民事違法行為分為違反合同行為和侵權行為兩大類,前者指合同當事人沒有合法事由不履行或不完全履行合同義務的行為,後者指合同以外的,非法侵犯他人民事權利的行為。民事違法行為在表現形式上可分為作為和不作為。違法的作為是指實施法律所禁止的行為;違法的不作為是指不實施法律所要求做的行為案例 1、行政違法行為;如工商登記幹部吃拿卡要,對申請符合頒發工商執行的刁難不發1.民事違法行為,如堵住鄰居的排水管道,不讓雨水從自家屋邊流過,違反相鄰權3、刑事違法行為;如A偷B家現金5萬元,侵犯公民合法的財產權