csrf概念:csrf跨站點請求偽造(cross—site request forgery),跟xss攻擊一樣,存在巨大的危害性。
簡單地理解就是攻擊者盜用了你的身份,以你這個使用者的名義傳送惡意請求,對伺服器來說這個請求是完全合法的。需要說明是整個過程中攻擊者完成了所期望的乙個操作,比如以你這個使用者的名義刪除資訊,修改資訊,傳送郵件、發布違法的訊息,甚至於新增系統管理員,盜取賬號,購買商品、虛擬貨幣轉賬等。
首先,使用者c通過瀏覽器瀏覽並登入了受信任站點 a伺服器;
站點a伺服器對登入資訊驗證通過以後,站點a伺服器會在返回給瀏覽器的資訊中帶上已登入的cookie,cookie資訊會在瀏覽器端儲存一定時間(根據服務端設定而定);
完成這一步以後,使用者c瀏覽器在沒有退出(清除站點a伺服器的cookie)web a瀏覽頁面的情況下,訪問惡意站點b伺服器資源;
這時惡意站點b伺服器的某個頁面向站點a伺服器發起某些惡意請求,而這個請求會帶上使用者c的瀏覽器端所儲存的站點a 伺服器的cookie;
站點a伺服器根據請求所帶的cookie,判斷此請求為使用者c所傳送的,惡意站點b伺服器也就達到了所期望的乙個操作。
惡意站點b達到了偽造使用者c請求站點a的目的,站點a會報據使用者c的許可權處理惡意站點b所發起的使用者c許可權範圍內的任意請求(比如:以使用者c的身份傳送 郵件、簡訊、訊息,以及進行轉賬支付等操作)。
受害者只需要做下面兩件事情,攻擊者就能夠完成csrf攻擊:
csrf 攻擊的三種解決方案:
Web安全之CSRF攻擊
csrf是什麼?csrf cross site request forgery 中文是跨站點請求偽造。csrf攻擊者在使用者已經登入目標 之後,誘使使用者訪問乙個攻擊頁面,利用目標 對使用者的信任,以使用者身份在攻擊頁面對目標 發起偽造使用者操作的請求,達到攻擊目的。舉個例子 簡單版 假如有個加關注...
Web安全之CSRF攻擊
源文位址 csrf是什麼?csrf cross site request forgery 中文是跨站點請求偽造。csrf攻擊者在使用者已經登入目標 之後,誘使使用者訪問乙個攻擊頁面,利用目標 對使用者的信任,以使用者身份在攻擊頁面對目標 發起偽造使用者操作的請求,達到攻擊目的。舉個例子 簡單版 假如...
前端安全之CSRF攻擊
csrf,即 cross site request forgery 中文名為跨站請求偽造。是一種挾持使用者在當前已登入的web應用程式上執行非本意的操作的一種攻擊方式。csrf攻擊的本質在於利用使用者的身份,執行非本意的操作。根據csrf的全名,可以得出的結論是 csrf的請求是跨域且偽造的。偽造指...