csrf的英文全稱是cross site request forgery,字面上的意思是跨站點偽造請求
瀏覽器的安全缺陷:
來自與頁面相同domain的檔案請求都會帶cookie,包括,**,flash,iframe
瀏覽器cookie缺陷:
1。記憶體cookie,ie允許跨域訪問
2。**設定 p3p頭,ie允許跨域訪問cookie
3。firefox沒有限制
csrf攻擊分類 :
只要使用者瀏覽這樣頁面,就會強迫發起請求
利用被攻擊站點對使用者登陸的信任,在使用者不知情的情況下,發表一些內容
CSRF攻擊原理
假設a.cn這個 是乙個xx管理系統,我只有這個系統的普通使用者的賬戶,這個賬戶功能很有限,沒有管理員賬戶的許可權大,只有管理員賬戶能新增其它的管理員賬戶,我在使用這個 的過程中發現這個 在新增管理員的時候沒有驗證碼或者token驗證,只需要輸入賬號和密碼就可以新增管理員了,這樣的話意味著可以被cs...
CSRF攻擊原理
csrf cross site request forgery 跨站請求偽造,也被稱為 one click attack 或者session riding,通常縮寫為csrf或者xsrf,是一種對 的惡意利用。儘管聽起來像跨站指令碼 xss 但它與xss非常不同,xss利用站點內的信任使用者,而cs...
CSRF攻擊原理
跨站請求偽造和跨站請求保護的實現 圖中browse是瀏覽器,webservea是受信任 被攻擊 a,webserverb是惡意 攻擊 b 1.一開始使用者開啟瀏覽器,訪問受信任 a,輸入使用者名稱和密碼登入請求 a 2.a驗證驗證使用者資訊,使用者資訊通過驗證,a產生cookie資訊並返回給瀏覽器 ...