THỰC HÀNH KIỂM THỬ BẢO MẬT ỨNG DỤNG WEB - Bai 3 - csrf

Uploaded by

Ngọc Phạm Thị Bích

0% found this document useful (0 votes)

14 views2 pages

Copyright

Available Formats

PDF, TXT or read online from Scribd

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Report this Document

Copyright:

Available Formats

Download as PDF, TXT or read online from Scribd

Flag for inappropriate content

0% found this document useful (0 votes)

14 views2 pages

THỰC HÀNH KIỂM THỬ BẢO MẬT ỨNG DỤNG WEB - Bai 3 - csrf

Uploaded by

Ngọc Phạm Thị Bích

Copyright:

Available Formats

Download as PDF, TXT or read online from Scribd

Flag for inappropriate content

Jump to Page

You are on page 1of 2

Search inside document

THỰC HÀNH KIỂM THỬ BẢO MẬT ỨNG DỤNG WEB

LỖ HỔNG CSRF, ỨNG DỤNG VÀO CHỨC NĂNG THÊM MỚI SÁCH

1. Viết một trang để hack bằng CSRF chức năng THÊM MỚI SÁCH (Xem
trong slide CSRF phần hack bằng POST)
2. Lấp lỗ hổng

https://titanwolf.org/Network/Articles/Article?AID=94f26e3d-0c58-434a-
a2df-a367a9174319

GIẢI PHÁP chống csrf tích hợp vào jsp/servlet

Sinh thẻ csrf token bằng một số ngẫu nhiên, lưu vào bộ nhớ chung Session
(quản lý phiên)

Số này lưu vào trường ẩn trong form

Sau này khi submit form, phía server lấy số đó trong session ra để so

The solution is as follows:

1. Generate random numbers.

SecureRandom random = SecureRandom.getInstance ("SHA1PRNG");

long seq = random.nextLong ();

String random = "" + seq;

session.setAttribute ("random_session", random);

2. Use the hidden field to pass the comparison value.

<input type = "hidden" name = "random_form" value = <% = random% >>

</input>

3. The servlet controller gets the parameter comparison.

VIEW IMAGE

String random_form=request.getParameter("random_form");
String random_session=(String)request.getSession().getAttrib
ute("random_session");
out.println ("random_form:"+random_form);
out.println ("random_session:"+random_session);
if(random_form!=null&&random_session!=null&&random_form.equ
alsIgnoreCase (random_session)) {
//business
}

Napas Payment Gateway Integration Guide v3.0
Document40 pages
Napas Payment Gateway Integration Guide v3.0
Hoàng Bảo Hân
100% (1)
Black Hat Python
Document10 pages
Black Hat Python
Ngọc Khoa Lê
No ratings yet
Bài thực hành 03 - v2. Triển khai hệ thống phát hiện xâm nhập Snort (Gửi sinh viên)
Document12 pages
Bài thực hành 03 - v2. Triển khai hệ thống phát hiện xâm nhập Snort (Gửi sinh viên)
Hòa Đỗ
No ratings yet
BTTH ch1 Tongquan Kientruc Vie
Document17 pages
BTTH ch1 Tongquan Kientruc Vie
Minh Uyên Đào Công
No ratings yet
Nh1916 ThaiVanTho Lab10
Document27 pages
Nh1916 ThaiVanTho Lab10
Heo Cục cứt
No ratings yet
Lab6-IPSec VPN Site
Document6 pages
Lab6-IPSec VPN Site
Trần Ngọc Thuận
No ratings yet
Nh19.99 NguyenVanThuong LabATTT11
Document15 pages
Nh19.99 NguyenVanThuong LabATTT11
Thương Nguyễn
No ratings yet
04-3-2 WinSock
Document31 pages
04-3-2 WinSock
Hưởng Phạm Văn
No ratings yet
Lab1 Tacac
Document14 pages
Lab1 Tacac
Tăng Lương
No ratings yet
Lab 1
Document16 pages
Lab 1
Quân Hoàng
No ratings yet
CRSF
Document19 pages
CRSF
Thành Đạt Phạm
No ratings yet
Lab 1 - OS Security
Document7 pages
Lab 1 - OS Security
22162047
No ratings yet
Hack SQL Injection
Document14 pages
Hack SQL Injection
Gà Con
No ratings yet
Lý Thuyết Pic Enc28j60 Web
Document99 pages
Lý Thuyết Pic Enc28j60 Web
Danh_IS4
100% (3)
Ôn Tập TCMT
Document2 pages
Ôn Tập TCMT
Nhật Nguyễn
No ratings yet
Antidebug
Document26 pages
Antidebug
Lucia Rin
No ratings yet
Lab 04 - Tấn Công Quét Mạng Sử Dụng NMAP
Document11 pages
Lab 04 - Tấn Công Quét Mạng Sử Dụng NMAP
Thương Nguyễn
No ratings yet
Cach Viet Mot SystemCall
Document3 pages
Cach Viet Mot SystemCall
Nguyễn Nhật Cường
No ratings yet
E Cuong - KTLHPM
Document21 pages
E Cuong - KTLHPM
balabala932002
No ratings yet
20Nh14 ATTT Lab10 102200227
Document9 pages
20Nh14 ATTT Lab10 102200227
Quân Mai
No ratings yet
Các hàm trong thư viện winsock2
Document3 pages
Các hàm trong thư viện winsock2
Anh Đàm
No ratings yet
BTTH ch2 Tientrinh TDTT Vie p2
Document11 pages
BTTH ch2 Tientrinh TDTT Vie p2
Luyen Cong Anh
No ratings yet
BTTH ch2 Tientrinh TDTT Vie p2
Document11 pages
BTTH ch2 Tientrinh TDTT Vie p2
Hải Long
No ratings yet
Bài tập số 1. Khai thác lỗ hổng XSS
Document28 pages
Bài tập số 1. Khai thác lỗ hổng XSS
Dinh Duc Dong
No ratings yet
Bài thực hành 2 Tấn công từ chối dịch vụ - Đội phòng thủ
Document15 pages
Bài thực hành 2 Tấn công từ chối dịch vụ - Đội phòng thủ
thanh nguyen
No ratings yet
BTTH Chap1
Document22 pages
BTTH Chap1
Minh Hiếu Đỗ
No ratings yet
Đồ Án LẬP TRÌNH THIẾT BỊ IoTs
Document39 pages
Đồ Án LẬP TRÌNH THIẾT BỊ IoTs
Trình Công
No ratings yet
Báo cáo môn học
Document38 pages
Báo cáo môn học
Nguyễn Kiến Văn
No ratings yet
Tổng hợp lệnh kích hoạt Windows - Office
Document11 pages
Tổng hợp lệnh kích hoạt Windows - Office
Trần Huy Dương
No ratings yet
De Cuong On Thi
Document21 pages
De Cuong On Thi
truong3719
No ratings yet
Express Framework
Document7 pages
Express Framework
minh quang đào
No ratings yet
Software
Document10 pages
Software
An Võ Thị Phương
No ratings yet
Cài Đặt Dataguard Physical Standby Database Trên 2 Máy Linux
Document11 pages
Cài Đặt Dataguard Physical Standby Database Trên 2 Máy Linux
daothidat
No ratings yet
Đ Án Cơ S Ngành M NG
Document21 pages
Đ Án Cơ S Ngành M NG
Gia Khánh
No ratings yet
I/ Giới Thiệu Cisco Secure Acs:: 1. Tổng quan
Document16 pages
I/ Giới Thiệu Cisco Secure Acs:: 1. Tổng quan
nguoitronggiangho2k1
No ratings yet
Message
Document13 pages
Message
Erocs RaeB
No ratings yet
Tài liệu hướng dẫn cài đặt sipp và các testcase
Document21 pages
Tài liệu hướng dẫn cài đặt sipp và các testcase
Anh Nguyễn Đức
No ratings yet
Lab 1. Buffer Overflow-New
Document3 pages
Lab 1. Buffer Overflow-New
20110610
No ratings yet
lẬp TrÌnh Socket vỚi Java
Document17 pages
lẬp TrÌnh Socket vỚi Java
phamcongit
No ratings yet
Hướng dẫn xây dựng hệ thống Asterisk server
Document18 pages
Hướng dẫn xây dựng hệ thống Asterisk server
huan1989
No ratings yet
Lab 15
Document6 pages
Lab 15
Tran Trung Phong B1505902
No ratings yet
Thủ Thuật Router Mikrotik
Document33 pages
Thủ Thuật Router Mikrotik
Minh Nghia Pham
No ratings yet
Lab5. Phân Tích WLAN
Document16 pages
Lab5. Phân Tích WLAN
THteam Channel
No ratings yet
Lab1 OS-Security DangMinhNhat 21110842
Document12 pages
Lab1 OS-Security DangMinhNhat 21110842
Nhật Minh
No ratings yet
NET Deserialization NgoVanThang
Document21 pages
NET Deserialization NgoVanThang
dancago
No ratings yet
Weekly Report 7 - Feb
Document30 pages
Weekly Report 7 - Feb
Diep Anh Vu (K16HCM)
No ratings yet
LẬP TRÌNH JAVA WEB SPRING MVC - B4
Document28 pages
LẬP TRÌNH JAVA WEB SPRING MVC - B4
Phạm Tiệp Marketer
No ratings yet
Tuan Lam
Document18 pages
Tuan Lam
Chiến Nguyễn
No ratings yet
Lab4 - Su Dung NMAP
Document32 pages
Lab4 - Su Dung NMAP
Hoàng Long
No ratings yet
Lab CCNA (Download Tai Tailieudep - Com)
Document298 pages
Lab CCNA (Download Tai Tailieudep - Com)
toan phamngoc
No ratings yet
BTTH ch2 Tientrinh TDTT Vie Full
Document17 pages
BTTH ch2 Tientrinh TDTT Vie Full
oppiilin Tuân
No ratings yet
LTWeb Bai11
Document30 pages
LTWeb Bai11
Thêm Nguyễn Thị
No ratings yet
Nguyen Xuan Tien - AT160448
Document59 pages
Nguyen Xuan Tien - AT160448
Ha Ngoc Hieu
No ratings yet
Chương Iii 1 2
Document25 pages
Chương Iii 1 2
Thiên Võ
No ratings yet
Thuc Hanh Information Gathering
Document4 pages
Thuc Hanh Information Gathering
Ngọc Phạm Thị Bích
No ratings yet
TH C Hành Khai Thác L H NG SQL Inject
Document11 pages
TH C Hành Khai Thác L H NG SQL Inject
Ngọc Phạm Thị Bích
No ratings yet
TH C Hành Khai Thác L H NG Stored XSS
Document1 page
TH C Hành Khai Thác L H NG Stored XSS
Ngọc Phạm Thị Bích
No ratings yet
TH C Hành Khai Thác L H NG Dom Based XSS
Document3 pages
TH C Hành Khai Thác L H NG Dom Based XSS
Ngọc Phạm Thị Bích
No ratings yet