视频网站数据库设计,手机设置管理网站,杭州app开发公司官网,如何创建网站目录CSRF 文章目录 CSRF漏洞原理漏洞危害漏洞防护CSRF攻击流程CSRF和XSS的区别CSRF漏洞挖掘及利用 CSRF
跨站点请求伪造#xff08;CSRF#xff09;攻击者会诱导受害者点击事先伪造好的url或者链接#xff0c;点击后#xff0c;攻击者就可以盗用你的身份#xff0c;以你的身份… CSRF 文章目录 CSRF漏洞原理漏洞危害漏洞防护CSRF攻击流程CSRF和XSS的区别CSRF漏洞挖掘及利用 CSRF
跨站点请求伪造CSRF攻击者会诱导受害者点击事先伪造好的url或者链接点击后攻击者就可以盗用你的身份以你的身份发送恶意请求。
漏洞原理
网站的cookie在浏览器中不会过期只要不关闭浏览器或者退出登录那以后只要是访问这个网站都会默认你已经登录的状态。
漏洞危害
攻击者盗用了你的身份以你的名义发送恶意请求造成个人隐私泄露以及财产安全。
漏洞防护
1.阻止不明外域的访问 2.提交时要求附加本域才能获取信息
CSRF攻击流程
1.受害者登录a.com并保留了登录凭证cookie 2.攻击者引诱受害者访问了b.com 3.b.com向a.com发送了一个请求a.com/actxx浏览器会默认携带a.com的cookie 4.a.com接收到请求后对请求进行验证并确认是受害者的凭证误以为是受害者自己发送的请求 5.a.com以受害者的名义执行actxx 6.攻击完成攻击者在受害者不知情的情况下冒充受害者让a.com执行了自己定义的操作
CSRF和XSS的区别
CSRF跨站请求伪造是以用户的身份攻击自己没有权限。 XSS跨站脚本攻击是盗取了用户的权限进行攻击
CSRF漏洞挖掘及利用
burp抓包后修改Referer字段再重新提交如果请求成功就存在CSRF
