iCMS

CSRF理解和实战

好喜欢专业转载优质博客文章的地方哦~

目录

啥是CSRF攻击

写一个CSRF攻击

如何避免CSRF攻击

啥是CSRF攻击

CSRF(Cross-site request forgery)跨站请求伪造,CSRF通过伪装来自受信任用户的请求来利用受信任的网站,也就是说,请求是攻击者伪造了请求,使服务器以为是用户发起的。CSRF通常由以下流程构成:

以下引自(https://juejin.im/post/5bc009996fb9a05d0a055192):

受害者登录a.com,并保留了登录凭证(Cookie)。

攻击者引诱受害者访问了b.com。

b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会…

a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。

a.com以受害者的名义执行了act=xx。

攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让a.com执行了自己定义的操作

总结来说,攻击者没有窃取你的登录信息,但是利用你的登录信息,冒充你或者在你不知情的情况下发起了一个请求。这通常也不是你希望的。接下来我们写一个CSRF攻击小例子。


写一个CSRF攻击

假设我是攻击者,我写了一篇博客,然后希望收到更多的赞(这个动机似乎不足以搞个CSRF),但是博文质量不是很高。于是我首先去研究了点

0

上一篇:

:下一篇

精彩评论

暂无评论...
验证码 换一张
取 消